La Sindicatura de Comptes avisa que la gestió de la ciberseguretat de l’Ajuntament de Mataró és deficient. Ho recull un informe fet públic aquest dilluns, en què analitza la protecció informàtica del consistori durant el 2023. Després de revisar els programes de gestió comptable, pressupostària i tributària, així com diferents elements de gestió interna, el síndic determina que l'índex de maduresa és de de nivell 2 sobre 5 i adverteix que no hi ha procediments escrits ni formació per blindar la ciberseguretat i tenir capacitat de reacció davant situacions inesperades. Si bé constata que l’Ajuntament està compromès amb la ciberseguretat, l’insta a actualitzar la normativa i millorar l’estratègia interna per evitar atacs informàtics.
- Des de l'Ajuntament s'és coneixedor de l'informe i del que desprèn però es lamenta que s'hagi assenyalat a un únic Ajuntament a nivell català. En aquest sentit recorden que la certificació ENS és nova, que en estudis comparats molts ajuntaments i administracions de per exemple el País Valencià tenen una mateixa avaluació que la mataronina i que a Catalunya sols el compleixen 9 consistoris, cap de ciutat gran. En aquest aspecte, l'Ajuntament recorda que l'informe subratlla els esforços que està fent Mataró en aquest àmbit per a millorar índexs d'un barem tan exigent i sever com l'utilitzat.
A l’informe, presentat pel síndic Manel Rodríguez Tió aquest estiu i fet públic ara, s’analitza la gestió de la seguretat durant el 2023 excloent els ens depenents. És el primer informe d’aquestes característiques per avaluar en un ajuntament la integritat, la disponibilitat, l’autenticitat, la confidencialitat i traçabilitat de les dades en els entorns informàtics. La fiscalització feta conclou que l’Ajuntament de Mataró assoleix un índex de maduresa general del 53,11% en els vuit controls bàsics que ha de superar l’administració. Si es compara el nivell de maduresa amb el nivell de compliment que requereix l’Esquema Nacional de Seguretat (ENS), el percentatge mitjà és del 66,39%. El síndic lamenta que cap dels vuit controls arriba al 80%, si bé assenyala que n’hi ha tres que ho freguen.
El millor resultat és el relatiu a inventari i control de dispositius físics, mentre que la pitjor situació la presenta tot allò relacionat amb les configuracions segures del programari i maquinari de dispositius mòbils, portàtils, equips de sobretaula i servidors.
El síndic també adverteix sobre el resultat obtingut en dos dels vuit controls: el relatiu a l’ús controlat de privilegis administratius i el que engloba les configuracions segures del programari i dispositius. En aquests dos casos, es detecta que el procés per garantir la ciberseguretat existeix però no es gestiona, de manera que “hi ha una efectivitat insuficient”.
Si bé la Sindicatura afirma que hi ha “implicació i compromís” amb la ciberseguretat per part dels òrgans superiors de l’Ajuntament i els gestors de les diferents àrees, també avisa que hi ha “mancances” que dificulten implementar un sistema “completament efectiu”.
En aquest sentit, assenyala que la política de seguretat de la informació no està completa ni actualitzada, que no s’han formalitzat ni aprovat totes les normes necessàries i que hi ha dependència jeràrquica entre el responsable de seguretat i el responsable del sistema. Al mateix temps, retreu a l’Ajuntament que faci set anys de la creació del Comitè de Seguretat en Protecció de Dades però que aquest no s’hagi reunit mai.
7 recomanacions concretes
Pel que fa al compliment de la legalitat, la Sindicatura afirma que la revisió feta durant el 2023 constata un nivell “insatisfactori” i avisa que els màxims òrgans de l’Ajuntament són els responsables de garantir el seguiment de les normatives i d’impulsar les mesures necessàries per a què així sigui. El síndic apunta que l’Ajuntament li ha manifestat que treballa per adaptar la institució a l’Esquema Nacional de Seguretat a través de diverses accions i noves normatives. Amb tot, lamenta que a data de juny del 2024 no havia acreditat que hagués començat a fer aquesta feina.
Per revertir la situació detectada amb l’informe, la Sindicatura planteja fins a set recomanacions al consistori mataroní. Per una banda, recalca que els òrgans de govern haurien de ser més actius per actualitzar la normativa de seguretat i incentivar la cultura de la ciberseguretat “amb una direcció estratègica i coordinada”.
També assenyala la necessitat de formalitzar tots els procediments a través de manuals i protocols, així com unificar els inventaris dels dispositius i els servidors. Al mateix temps, demana crear un pla de manteniment del programari i actualitzar tots els sistemes operatius que estan fora del període de suport.
Per últim, planteja la creació d’un llistat de programari autoritzat i un control períodic sobre el mateix, l’elaboració d’un procés unificat de gestió dels usuaris amb privilegis i un calendari de revisions períodiques dels registres d’activitat.
- Després de l’informe de Mataró, la Sindicatura de Comptes té previst publicar anàlisis similars sobre Badalona, Santa Coloma de Gramenet i Reus.
- En els propers anys, la previsió és completar l’anàlisi de la ciberseguretat de tots els municipis amb una població superior als 100.000 habitants, segons apunten des de l’ens.
Comentaris (7)