Ciberhigiene y control interno

La prensa se hace eco con relativa frecuencia de los ataques informáticos a centros públicos (quizás porque los privados se arreglan discretamente) y en algún caso un diario comparaba estas agresiones con el bombardeo realizado por Japón sobre Pearl Harbor. En España, estas amenazas afectan no sólo a la protección de las infraestructuras críticas.

El Ayuntamiento de Jerez sufrió en 2019 un severo ataque informático que dejó los servicios municipales bajo mínimos durante muchos días. Esta semana conocimos el ciberataque que ha paralizado los sistemas del Servicio Público de Empleo Estatal (Sepe) que puso de manifiesto los fallos en la prevención y la respuesta ante ataques informáticos en las Administraciones, en un momento que abunda el teletrabajo yoperan totalmente en formato electrónico.

Aprovecho para recordar que el BOE del pasado 5 de agosto publicó el Real Decreto-ley 27/2020, en cuya Disposición final séptima, relativa a su entrada en vigor, se recoge la ultimísima prórroga: “…. No obstante, las previsiones relativas al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico producirán efectos a partir del día 2 de abril de 2021”. Cómo se está produciendo esta definitiva implantación y el análisis de los retos que supone, se estudiará en este magnífico curso on line donde ya me he inscrito.

En esta bitácora venimos presentando, desde hace muchos años, los ciberataques como riesgo relevante del control interno, que debe estar resuelto cuando llega el auditor a opinar. El propio Tribunal de Cuentas Europeo nos ha dado pautas sobre los grandes desafíos en esta materia.

Antonio Minguillón, dentro del imprescindible monográfico que en enero pasado la revista El consultor dedicó a la auditoria pública digital (coordinado por Pilar Jiménez Ríus) en su artículo titulado La transformación digital de las administraciones públicas… y de los auditores públicos, apuntaba la actualización de las Guías Prácticas de Fiscalización de los Órganos de Control Externo que la Conferencia de Presidentes de los OCEX ha aprobado, a propuesta de su comisión técnica, las siguientes y entre ellas:

Minguillón: “El principal riesgo que tenemos todos los auditores públicos es que la realidad nos supere por no encontrarnos preparados para una era que nos guste o no, queramos aceptarlo o no, va a ser digital”.

Estar en la nube ¿elimina el ciberriesgo?

Asimismo, la nube puede verse como riesgo y como oportunidad puesto que nada impide que, su centro de alojamiento de datos sufra un incendio, intencional o fortuito. una noticia que no nos es tan ajena porque el citado incendio de Estrasburgo puede afectar a instituciones españolas sujetas a fiscalización. Así, la prensa publica hace unos días que la Universidad de Valencia que está valorando las posibles pérdidas.

En este sentido, puede consultarse otro interesante artículo de Enrique Benítez Palma y Carlos Vaz Calderón (Revista de Estudios Locales, 230) donde además se analiza la interesante iniciativa conjunta de la FEMP para la puesta en marcha de aplicaciones virtuales cuya misión y objeto es la “prestación de servicios horizontales de ciberseguridad, logrando que organismos, entidades e instituciones mejoren sus capacidades de vigilancia y detección de amenazas en la operación diaria de los sistemas de información y comunicación, así como el perfeccionamiento de sus capacidades de respuesta ante cualquier ataque”

Entienden los autores que el conocimiento del esquema nacional de seguridad y la adaptación al mismo por las entidades locales es ya un requisito impostergable en el ámbito de la administración local:

“como se ha demostrado con la pandemia del coronavirus, los esfuerzos solitarios no valen en este tipo de situaciones, en las que la interconectividad y la interoperabilidad obligan a extremar los controles y precauciones en todos los elementos integrantes del sistema, en este caso en la administración pública”.

Un nuevo auditor para nuevos informes

Hablamos del auditor como tecnólogo. Incluso ya aceptamos pacíficamente que el auditor es un profesional digital. Ya hace años que la Sindicatura de la Comunidad Valenciana (¡con Minguillón como principal instigador!) se centra dentro de los informes en esta vertiente del control. Son muchos los informes que incluyen los aspectos tecnológicos dentro del análisis del control interno.

Dada la importancia y los efectos desastrosos de estos ataques, los auditores deben incluir la revisión de los cibercontroles en todos los trabajos.

Así, esta Sindicatura de Comptes ha efectuado numerosas recomendaciones que afectan a las diversas áreas analizadas tanto en los informes específicos como en los correspondientes a cada Administración auditada o en el global, como el presentado hace unas semanas titulado “Informe global sobre el control interno de los ayuntamientos con población entre 20.000 y 25.000 habitantes. Ejercicios 2017-2019”. Entre las recomendaciones se encuentran las destinadas a mejorar la seguridad y la eficacia del entorno tecnológico, “ya que la crisis sanitaria y socioeconómica mundial causada por la pandemia de la COVID-19 que marca nuestra realidad en el momento de publicar este informe ha puesto de manifiesto la total dependencia que tiene la gestión pública de los sistemas de información y las comunicaciones. Esto hace que administraciones públicas y ayuntamientos sean más vulnerables frente a los ciberataques y que, por tanto, sea más necesario que nunca mantener un sólido sistema de protección frente a ellos y una adecuada ciberhigiene”.

Como puede verse en el gráfico adjunto, el entorno tecnológico es, hoy por hoy, la mayor debilidad del control interno local y seguramente de todas las AAPP:

En su opinión global los auditores concluyen que el control interno de las 21 entidades analizadas “resulta adecuado para proporcionar un grado de confianza razonable en la integridad de la información y su nivel de transparencia, el cumplimiento de la normativa aplicable y la protección de los activos”. Recomiendo a los muy cibercafeteros que repasen el listado de salvedades de las páginas 7 y 8.

Terminamos con un ejemplo del interés despertado: la existencia de estudios específicos en Ciberseguridad, como el Título Propio on line de la Universidad de Córdoba que tiene por objeto aprender a planificar, diseñar e implementar políticas de ciberseguridad en las organizaciones.

 

2 comentarios en “Ciberhigiene y control interno

  1. Pingback: Auditoría de tecnologías de la información: hoja de ruta hacia la seguridad razonable – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .