El Consejo de Cuentas de Castilla y León acaba de públicar dos interesantes informes de fiscalización relativos al ejercicio 2022. Se trata del Análisis de la seguridad informática tanto del Ayuntamiento de Salamanca y como de Valladolid, lo que nos permite alguna reflexión sobre tan delicado asunto.
La GPF-OCEX 5313 es una de las principales Guías Prácticas de Fiscalización (eso significan las tres primeras iniciales) que han aprobado los Órganos de Control Externo (siguientes siglas) encargados de la fiscalización de las CCAA. Recomiendo su lectura porque, en la medida en que cada vez hay un mayor número de servicios públicos se presta on-line y la conectividad por internet se ha convertido en una característica de todos los sistemas de información, los auditores deben prestar cada vez más atención a las cuestiones relacionadas con la ciberseguridad. El reciente CCIL23 es un ejemplo. Antonio MInguillón, verdadera pieza del museo fiscalizador patrio, sintetiza gráficamente esa situación de aumento de los riesgos de auditoría derivados el uso de la tecnología en su clásico minguimapa.
Si prefiere verse este tema como un tema de legalidad pura y simple, podemos recordar que las exigencias en materia de ciberseguridad son estricto derecho positivo que afecta al Esquema Nacional de Seguridad (ENS) y a la exigente normativa sobre protección de datos. Ver grupo seis de conclusiones de los XV Encuentros Técnicos OCEX. Sin embargo desde el punto de vista metodológico son auditorías operativas cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por la entidad fiscalizada y, en función de los resultados, proponer recomendaciones de mejora. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los CBCS, así como el grado de efectividad alcanzado por estos controles.
El objetivo de una auditoría de Controles de Ciberseguridad (CBCS) es proporcionar una evaluación sobre el diseño y la eficacia operativa de los CBCS y proporcionará información relevante sobre el grado de ciberseguridad y ciber-resiliencia de la entidad y sobre posibles acciones de mejora aconsejables.
Para evaluar los resultados generales por cada uno de los CBCS se utiliza el modelo de nivel de madurez de los procesos (basado en la Guía de seguridad CCN-STIC 804) usando una escala entre 0 y 5. Este modelo de seis niveles proporciona una base para comparar resultados entre distintos entes y entre distintos periodos para un ente determinado. Son estos. Me encantan los niveles 2 y 3 con la pedagógica alusión a la buena suerte: «El éxito es algo más que buena suerte: se merece«. Disculpad el oportunismo del titular de la entrada de hoy pero el tema merece ser destacado.
El Informe del Consejo
El Consejo de Cuentas es uno de los pocos auditores públicos en realizar este tipo de trabajos (ver experiencia valenciana). Tras las auditorías realizadas en 2021 a siete ayuntamientos de tamaño intermedio, desde el pasado año se abordan las relativas a las nueve capitales de provincia de la Comunidad. Es el cuarto y quinto informe de capitales , después de los referidos a Ávila, Burgos y Palencia.
Los ayuntamientos objeto de la presente fiscalización cuentan con tamaño suficiente para disponer de una estructura de tecnologías de la información y de las comunicaciones de cierta complejidad. Han tenido que adaptarse necesariamente al uso de las nuevas tecnologías, por la generalización de su uso como herramienta de trabajo, y también por la digitalización creciente impuesta por la normativa. En definitiva, han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información, al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo, incluyendo algunos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal.
Por otra parte, en el ejercicio de su función fiscalizadora, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de las entidades fiscalizadas, como único soporte existente de la información económica y financiera, y para ello es necesario que existan unos controles eficientes de ciberseguridad, siendo los que se detallan en el alcance de esta fiscalización, los más básicos.
Teniendo en cuenta que la finalidad de estos informes es promover un cambio positivo, antes de su publicación se deja transcurrir un cierto tiempo para facilitar que las entidades corrijan las debilidades puestas de manifiesto. En este sentido, recuerdan el Consejo de Cuentas que se ha obtenido una recepción muy positiva en los entes fiscalizados a lo largo de la ejecución de los trabajos, con la aplicación inmediata de mejoras.
Recomendaciones
Los controles básicos de ciberseguridad definidos por Asocex en los párrafos anteriores se evalúan según el modelo de madurez de procesos, que establece seis niveles. Los órganos de control externo autonómicos consideran que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado. Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es el 80%.
El Consejo de Cuentas realiza varias recomendaciones a los ayuntameientos fiscalizados. Entre ellas, siempre señalando, “el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles … el alcalde debería promover un compromiso firme por parte del pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada …debería impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información”.
El Pleno del Ayuntamiento también lleva lo suyo: “debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de TI acorde y que permita cumplir el principio de seguridad como responsabilidad diferenciada, de acuerdo con lo especificado en los artículos 11 y 12 del esquema nacional de seguridad”.
En fin, un par de trabajos que debemos leer con calma …
Gracias por comentar con el fin de mejorar