El presidente del Consejo de Cuentas de Castilla y León, Mario Amilivia, presentó este lunes ante la Comisión de Economía y Hacienda del Parlamento autonómico dos informes, el análisis de la seguridad informática del Ayuntamiento de Salamanca. Auditoría aprobada a finales de 2023 y que "proponen recomendaciones de mejora, es decir, promover un cambio positivo", según Amilivia.

En primer lugar, precisó que se realizaron 45 conclusiones tras el análisis. Con relación al entorno tecnológico y sistemas de información, se subraya, por ejemplo, que la concejalía que tiene atribuidas las competencias en materia de informática realiza acciones para una dirección efectiva de la política de seguridad informática, pero presenta carencias importantes, especialmente en el ámbito de impulso a la aprobación de una política de seguridad y del nombramiento de los principales responsables de la gestión y seguridad en esta materia.

El ayuntamiento tiene 20 puestos relacionados con las tecnologías de la información, estando cubiertos 15, y con varios procesos selectivos para cubrir las vacantes. Por otro lado, dispone de documentación de sus sistemas y procesos de gestión y ha realizado una identificación y categorización según el Esquema Nacional de Seguridad (ENS) de los sistemas de información de que dispone.

Los equipos son controlados por la propia entidad, excepto la página web. Respecto a la estructura de la red corporativa, tiene en general, dada su dimensión, un sistema con una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local. También dispone de soluciones de teletrabajo y acceso remoto permitiendo un nivel de seguridad adecuado.

Con relación a la implantación de los controles básicos de ciberseguridad definidos por la Asociación de Órganos de Control Externo autonómicos, estos se evalúan según el modelo de madurez de procesos estableciendo seis niveles (de 0 a 5). De esta manera, se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, lo que implica un "proceso bien definido y estandarizado".

Los controles abordaron el inventario y control de dispositivos físicos: inventario y control de software autorizado y no autorizado: proceso continuo de identificación y corrección de vulnerabilidades: uso controlado de privilegios administrativos; configuraciones seguras del software y hardware de dispositivos y equipos; registro de la actividad de los usuarios; copias de seguridad de datos y sistemas y cumplimiento normativo.

A la vista de los resultados, la situación global de los controles básicos de ciberseguridad de la entidad presenta un nivel de madurez L2. A su vez, el índice de cumplimiento es del 79%, alcanzando prácticamente el nivel de madurez L3, que se corresponde con una puntuación del 80% como objetivo mínimo deseable.

Las cinco recomendaciones del Consejo van dirigidas, con carácter general, a que el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico constatadas durante la revisión de los controles. Asimismo, este debería asumir y promover un compromiso firme por parte del Pleno con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.

Por otra parte, con relación al inventario y control de activos y el uso controlado de privilegios administrativos, el alcalde debería impulsar una planificación a largo plazo de las necesidades de renovación tecnológica; y sobre el proceso continuo de identificación y corrección de vulnerabilidades, debería impulsar en la contratación de los servicios informáticos cláusulas que permitan controlar cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el ENS.

En cuanto al cumplimiento normativo, se recomienda que el Pleno debe seguir liderando las actuaciones ya iniciadas en lo referido a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de tecnologías de la información acorde y que permita cumplir el principio de "seguridad como responsabilidad diferenciada".