Los síndicos preocupados por la ciberseguridad de las instituciones

en por Antonio Arias Rodriguezen Control interno

La Sindicatura de cuentas de la Comunidad Valenciana parece aprovechar los trabajos de fiscalización para publicar un informe específico sobre la ciberseguridad de la institución visitada. Hasta ahora no recibe más que disgustos. Veámoslos.

Entre los últimos trabajos realizados, destaco dos piezas separadas. Así, se revisó el sistema de información para la gestión de la información municipal de carácter económico-financiero y contable del Ayuntamiento de Valencia. Una aplicación que había sido sustituida en 2022 por la herramienta «SEDA», con el objeto simplificar de los procesos mediante la unificación en un sistema de diversas aplicaciones municipales, aumentar de la eficacia y eficiencia en el cumplimiento de las obligaciones legales y garantizar la fiabilidad de la información económica municipal.

En sintonía con los objetivos estratégicos de la Sindicatura, llevaron a cabo un trabajo de auditoría de ciberseguridad específica sobre el citado sistema SEDA. Este informe complementa los resultados del Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de València del año 2019 aprobado en 2022.

Como resultado de la revisión efectuada de 44 controles detallados, concluyen que el grado de control existente en la gestión de los controles generales de tecnologías de la información relacionados con la ciberseguridad del sistema SEDA alcanza un índice de madurez del 67,2%. Todos los controles analizados deben mejorar para alcanzar el objetivo del 80% establecido por el Esquema Nacional de Seguridad y existen claras posibilidades de mejora para la protección de los sistemas de información.

Un paréntesis: (Por si no te has enterado, esta misma semana tenemos más regulación ENS5G, en este caso, el artículo 26 regula la gestión de seguridad por las Administraciones públicas que deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes de quinta generación. Habrá que leerlo con calma). Pero volvamos al informe valenciano.

La Sindicatura, contextualiza los resultados obtenidos en la citada auditoría en el marco del Informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana del ejercicio 2021, y constata la posición relativa del nivel de madurez general de los controles de ciberseguridad del sistema SEDA con respecto a la media de los controles básicos de ciberseguridad de los 15 ayuntamientos analizados y con el Ayuntamiento de Valencia.

Así, durante la revisión, como parte del proceso de obtención de conocimiento del sistema, concluye que el sistema cumple con los requisitos funcionales y satisface las necesidades operativas de los usuarios, y que se ha realizado una adecuada gestión del desarrollo y despliegue del sistema SEDA por parte de los responsables del proyecto en el Ayuntamiento y por parte de los adjudicatarios del proyecto y de su dirección.

Asimismo han realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar la gestión de la ciberseguridad del sistema. Entre ellas aconsejan mejorar la configuración de seguridad de los distintos entornos del sistema, finalizar la licitación para la adquisición de un sistema EDR para la protección de los dispositivos finales de usuario del Ayuntamiento, y ampliar el Plan de Contingencia para el sistema de manera que recoja y formalice la realización periódica de pruebas de recuperación planificadas para todos los tipos de copia existentes.

Con carácter general, entienden que siguen vigentes las conclusiones y las recomendaciones realizadas en el informe antes citado, la más importante de las cuales se refiere a la necesaria actualización y aprobación de la Política de Seguridad de la Información del Ayuntamiento.

Compras sanitarias

La Sindicatura de Comptes, de forma simultánea a la realización de la auditoría del control interno y de los sistemas de información de las compras sanitarias, también llevó a cabo una auditoría de ciberseguridad y de los controles generales de tecnologías de la información (CGTI) relacionados con la aplicación que proporciona soporte a los procesos de suministro de bienes y servicios de la Conselleria de Sanidad.

Las principales conclusiones han sido:

– El índice de madurez de los CGTI relacionados con el proceso es muy deficiente y no aporta un nivel de confianza razonable para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de las transacciones y los datos.

Hemos llegado a la conclusión de que el índice de madurez conjunto de esos controles es del 48,7%, inferior al 80% requerido por el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, que requiere a las administraciones con la categoría de seguridad de los sistemas revisados ese nivel mínimo de madurez.

El detalle del nivel de madurez de cada grupo de controles se muestra en el gráfico siguiente, lo que parece un mal resultado:

La situación de los CGTI representa, por tanto, un nivel de riesgo sobre la seguridad de la información inaceptable y las deficiencias existentes no permiten confiar en el buen funcionamiento de los controles de procesamiento de información (CPI), por lo que la entidad debe adoptar medidas para reconducir la situación.

– La Conselleria de Sanidad no tiene establecida una adecuada gobernanza de la ciberseguridad, que es el elemento clave para llegar al objetivo de garantizar la seguridad y buen funcionamiento de los sistemas de información, y esto es responsabilidad de los órganos superiores de la Conselleria. Además, se debe reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.

– Las deficiencias en los controles señaladas en el informe especial de 2016 persisten. La revisión del cumplimiento normativo en materia de seguridad de la información ha puesto de manifiesto las siguientes incidencias:

– Aunque existen trabajos en marcha relacionados con el cumplimiento del ENS, el índice actual de cumplimiento es muy bajo, existiendo los incumplimientos significativos que se detallan en nuestro informe.

  • No se ha elaborado el plan de adecuación al Esquema Nacional de Interoperabilidad.
  • Existen aspectos pendientes de cumplimiento de la normativa de protección de datos personales.

Se debe reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información

En el informe realizaron varias recomendaciones tendentes a subsanar las deficiencias observadas en materia de ciberseguridad. De entre ellas destacamos las relacionadas con mejorar la capacidad de recuperación de los sistemas ante posibles desastres o ciberataques mediante sistemas de alta disponibilidad redundados en diferentes ubicaciones y una adecuada gestión de las copias de seguridad.

Antonio Minguillón y su minguimapa, en una reciente conferencia en la Universidad de Salamanca

Gracias por comentar con el fin de mejorar

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.