La ciberseguridad mira al norte

en por Antonio Arias Rodriguezen Control interno, e-Administración

El Consello de Contas de Galicia acaba de aprobar el último de los cuatro interesantes informes sobre el tema estrella de la actualidad: la ciberseguridad en las diputaciones gallegas. Reconoce la nota de prensa la especial sensibilidad sobre los riesgos asociados a los sistemas de información que soportan los servicios públicos, en un contexto de transformación acelerada de los entornos tecnológicos en las que operan las Administraciones Públicas. Un tema que ya forma parte de la agenda habitual de las Instituciones de Control Externo.

El Consello inicia así “una nueva línea de trabajo en el Área de Corporaciones Locales, en el ámbito de la ciberseguridad de las Administraciones Locales Gallegas”, en la misma dirección que sus homólogos autonómicos.

Como un primer hito dentro de este nuevo área prioritaria se efectuó la fiscalización de los controles básicos de ciberseguridad de las cuatro Diputaciones Provinciales gallegas, además de las aplicaciones informáticas que soportan los procesos de gestión tributaria y recaudatorio, así como las de nóminas de personal funcionario y cargos electos.

Esta nueva línea de trabajo, nos dice el Consello, se completará en el presente ejercicio con la auditoría de controles básicos de ciberseguridad de los ayuntamientos de más de 100.000 habitantes, hasta llegar al conjunto de las 359 entidades principales que conforman el sector local de la Comunidad Autónoma de Galicia.

En los informes presentados además de plantear recomendaciones y efectuar una priorización de las medidas propuestas en base a los riesgos asociados y los costes, se incluye específicamente un apartado de buenas prácticas detectadas.

Sólo La Coruña parece aprobar. Las otras tres de las diputaciones gallegas (Pontevedra así como Lugo y también Orense) tienen un índice de madurez general de los Controles Básicos de Ciberseguridad (CBCS) que es insuficiente y deben mejorar para conseguir los niveles exigidos por el Esquema Nacional de Seguridad (ENS).

La guía de los auditores recoge dos elementos fundamentales para el análisis: los indicadores de madurez y de cumplimiento que permiten conocer el estado de la seguridad de los organismos públicos en lo relativo al ENS. Estos indicadores se definen:

  • índice de madurez: sintetiza en términos porcentuales el nivel de seguridad de una entidad en el que alcanza a todos los controles de ciberseguridad.
  • índice de cumplimiento: evalúa también el nivel de seguridad, pero en relación con la exigencia que se aplica a cada caso en función de la categoría del sistema. Es decir, compara el índice de madurez con el nivel mínimo que se exige para esa categoría en el ENS, que para esta fiscalización se establece en el nivel N3 (80%).

Cuatro informes para leer con calma, en el ejercicio de un buen control interno.

Con Juan Carlos Aladro, Conselleiro Maior de contas de Galicia

Gracias por comentar con el fin de mejorar

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.