La Sindicatura de Cuentas advierte que la gestión de la ciberseguridad del Ayuntamiento de Mataró es deficiente. La Sindicatura ha señalado en un informe publicado este lunes que la gestión de la ciberseguridad del Ayuntamiento de Mataró presenta carencias significativas. El informe, que analiza la protección informática del consistorio durante el año 2023, concluye que el índice de madurez es de nivel 2 sobre 5. Además, advierte que no existen procedimientos escritos ni formación adecuada para fortalecer la ciberseguridad ni para tener capacidad de reacción ante situaciones inesperadas. A pesar de que constata que el Ayuntamiento está comprometido con la ciberseguridad, insta a actualizar la normativa y mejorar la estrategia interna para evitar posibles ataques informáticos.
En el informe, presentado por el síndico Manel Rodríguez Tió durante este verano y hecho público ahora, se analiza la gestión de la seguridad excluyendo los entes dependientes. Este es el primer informe de estas características que evalúa en un ayuntamiento la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los datos en los entornos informáticos. La fiscalización concluye que el Ayuntamiento de Mataró alcanza un índice de madurez general del 53,11% en los ocho controles básicos que debe superar la administración. Si se compara el nivel de madurez con los requerimientos del Esquema Nacional de Seguridad (ENS), el porcentaje medio es del 66,39%. El síndico lamenta que ninguno de los ocho controles alcanza el 80%, aunque destaca que tres de ellos están cerca de lograrlo.
El mejor resultado se obtuvo en lo relacionado con el inventario y control de dispositivos físicos, mientras que la peor situación se presenta en todo lo relacionado con las configuraciones seguras del software y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores.
El síndico también advierte sobre el resultado obtenido en dos de los ocho controles: el relativo al uso controlado de privilegios administrativos y el que engloba las configuraciones seguras del software y dispositivos. En estos casos, se detecta que el proceso para garantizar la ciberseguridad existe, pero no se gestiona de forma adecuada, lo que se traduce en una “efectividad insuficiente”.
A pesar de que la Sindicatura afirma que hay “implicación y compromiso” por parte de los órganos superiores del Ayuntamiento y de los gestores de las diferentes áreas, también alerta de “deficiencias” que dificultan la implementación de un sistema “completamente efectivo”.
En este sentido, señala que la política de seguridad de la información no está completa ni actualizada, que no se han formalizado ni aprobado todas las normas necesarias y que existe una dependencia jerárquica entre el responsable de seguridad y el responsable del sistema. Al mismo tiempo, critica que, a pesar de que hace siete años se creó el Comité de Seguridad en Protección de Datos, este nunca se ha reunido.
Siete recomendaciones concretas
En cuanto al cumplimiento de la legalidad, la Sindicatura afirma que la revisión realizada durante el 2023 refleja un nivel “insatisfactorio” y advierte que los máximos órganos del Ayuntamiento son los responsables de garantizar el seguimiento de las normativas y de impulsar las medidas necesarias para que así sea. El síndico indica que el Ayuntamiento ha manifestado que está trabajando para adaptar la institución al Esquema Nacional de Seguridad a través de diversas acciones y nuevas normativas. Sin embargo, lamenta que a junio de 2024 no se había acreditado que se hubieran iniciado estas tareas.
Para revertir la situación detectada en el informe, la Sindicatura propone hasta siete recomendaciones al consistorio de Mataró. En primer lugar, recalca que los órganos de gobierno deberían ser más activos en la actualización de la normativa de seguridad e impulsar la cultura de la ciberseguridad “con una dirección estratégica y coordinada”.
Asimismo, señala la necesidad de formalizar todos los procedimientos a través de manuales y protocolos, así como unificar los inventarios de dispositivos y servidores. Al mismo tiempo, pide crear un plan de mantenimiento del software y actualizar todos los sistemas operativos que se encuentren fuera del período de soporte.
Por último, sugiere la creación de una lista de software autorizado y un control periódico sobre el mismo, la elaboración de un proceso unificado de gestión de usuarios con privilegios y un calendario de revisiones periódicas de los registros de actividad.
Tras el informe de Mataró, la Sindicatura de Cuentas prevé publicar análisis similares sobre Badalona, Santa Coloma de Gramenet y Reus. En los próximos años, se espera completar el análisis de la ciberseguridad de todos los municipios con una población superior a los 100.000 habitantes, según informan desde el organismo.