El tamaño no importa en ciberseguridad

en por Antonio Arias Rodriguezen e-Administración, Entidades Locales

Vivimos tiempos digitales, donde la vida on line cobra especial protagonismo. Por eso, debemos destacar la apuesta que hizo la Sindicatura de cuentas de la Comunidad Valenciana, desde hace ya varios años, para supervisar (¡ayudar!) frente a las nuevas amenazas de los ayuntamientos. La ciberseguridad como desafío. La nube es riesgo pero también oportunidad. La Administración ha informatizado todos los procesos administrativos, desde la contratación a la rendición de cuentas. (¡Qué hubiera pasado si la pandemia del COVID-19 llega durante los años 90!)

Esta evolución administrativa no sólo llega a los gestores sino también ha afectado al auditor que para realizar su trabajo inevitablemente en entornos tecnológicos, ha debido especializarse. En el excepcional I Congreso de Control Interno Local, celebrado en Badajoz el otoño pasado, Antonio Minguillón intervenía en la mesa inaugural apuntando: “Lo tengo claro: la auditoría no va a ser como la conocemos tradicionalmente y todavía se ejerce mayoritariamente”.

El informe presentado hoy es una radiografía de esa evolución. La Sindicatura de Cuentas de la Comunidad Valenciana acaba de hacer pública la Auditoría de los controles básicos de ciberseguridad de los mayores ayuntamientos de la Comunitat Valenciana durante los ejercicios 2019 y 2020. Un trabajo que responde al compromiso de la institución fiscalizadora con la gestión y seguridad de los sistemas de información.

En palabras simples concluye: ningún ayuntamiento dispone de un conjunto de controles de ciberseguridad que garantice la protección de sus sistemas de información de forma satisfactoria.

No parece existir una vinculación del problema con la disponibilidad de recursos financieros en cada entidad. Algunos factores “intangibles” parecen tener más influencia, como la concienciación con la importancia de la ciberseguridad y la necesidad de adoptar medidas de ciberhigiene. Un tema para profundizar.

Índice de madurez general de los controles básicos de ciberseguridad en el informe

Los sistemas de información analizados están en riesgo frente a las amenazas de ciberseguridad

Esta auditoría ha sido realizada por la Unidad de Auditoría de Sistemas de Información de la Sindicatura, siguiendo la metodología establecida en la guía práctica de fiscalización GPF-OCEX 5313 (Revisión de los controles básicos de ciberseguridad) de su Manual de fiscalización. Un reconocimiento de la ciberseguridad como área de alto riesgo en la gestión pública.

Perlas destacadas del informe:

Sin perjuicio de que las leáis con la calma que merece el tema, os destaco algunas de los principales apuntes de sus conclusiones:

  • Ninguno de los ayuntamientos auditados alcanza el índice de madurez de los controles básicos de ciberseguridad del 80% requerido por el Esquema Nacional de Seguridad (ENS).
  • En general, el nivel de cumplimiento con la normativa relacionada con la seguridad de la información es bastante insatisfactorio
  • La revisión del cumplimiento de legalidad en materia relacionada con la ciberseguridad ha puesto de manifiesto que existen incumplimientos generalizados de esa normativa
  • De un total de 120 controles básicos revisados en los quince ayuntamientos, solo cuatro controles alcanzan el nivel de madurez establecido como objetivo en el ENS.
  • La situación provocada por la epidemia de COVID-19 ha mostrado con absoluta claridad la total dependencia de los sistemas de información y las comunicaciones que existe actualmente en la gestión pública, lo que hace que las administraciones públicas sean más vulnerables que nunca frente a los ciberataques.
  • No existe coste cero en materia de seguridad de la información
  • Es necesario un mayor compromiso y concienciación de los órganos de gobierno de los ayuntamientos con la seguridad de los sistemas de información y las comunicaciones, lo que inevitablemente conlleva una mayor inversión económica y en recursos humanos cualificados.

«Es más necesario que nunca mantener una adecuada ciberhigiene y un sólido sistema de protección frente a las ciberamenazas»

En la fase final de discusión de los borradores de informe con los distintos responsables, les manifestaron, en general, su voluntad de subsanar las deficiencias de control observadas. Los auditores concluyen que ha sido así en algunos casos y antes de la emisión del informe. Una muestra del valor añadido de los informes con estas características. También que, en el Programa Anual de Actuación de 2020 está expresamente previsto realizar un informe de seguimiento de esas 11 auditorías de los controles básicos de ciberseguridad.

5 comentarios en “El tamaño no importa en ciberseguridad

  3. Pingback: Ciberhigiene y control interno – Fiscalizacion.es

  4. Pingback: Auditoría de tecnologías de la información: hoja de ruta hacia la seguridad razonable – Fiscalizacion.es

  5. Pingback: Ciberseguridad. Los ricos también lloran. – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.