El Ayuntamiento de Zamora cumple únicamente el 45% de los controles en ciberseguridad, según el Consejo de Cuentas

Las recomendaciones.

Teniendo en cuenta que la finalidad de estas auditorías es "promover un cambio positivo", las recomendaciones son fundamentales a la hora de servir de guía y acicate a los ayuntamientos auditados, y pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática.

En este caso, el Consejo realiza 10 recomendaciones al Ayuntamiento de Zamora. Entre ellas, en línea con las recomendaciones ya realizadas a los ayuntamientos de otras capitales de provincia ya auditados, con carácter general, "el equipo de gobierno debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles".

Para esta tarea, organismos como el Centro Criptológico Nacional, la FEMP o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Además, el Pleno municipal debería asumir y promover "un compromiso firme con el cumplimiento de la normativa", elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.

Así, cuentan que "se debería regularizar y reforzar la cobertura de los puestos clave de la plantilla en el ámbito de las tecnologías de la información; dotar de los recursos necesarios a la Unidad de Tecnología de la Información y Comunicaciones; y culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del ENS, valorándose su realización conjunta con las relativas a la protección de datos personales".

Sobre el entorno tecnológico del ayuntamiento, consideran que desde la Alcaldía se deberían impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información.

Además, "debería formalizar el nombramiento del responsable de seguridad", asegurando su adecuada inclusión en la política de seguridad. Asimismo, se recomienda garantizar la documentación suficiente y actualizada del entorno de tecnologías de la información.

Sobre el inventario y control de activos y el uso controlado de privilegios administrativos, "debería impulsar la implantación de un inventario integral y actualizado de activos que incluya todas las tipologías relevantes y garantice la calidad e integridad de la información".

Asimismo, recomiendan establecer procedimientos y herramientas que permitan la actualización automatizada o sistemática de dichos inventarios, con el fin de mejorar su fiabilidad y asegurar un control efectivo sobre los activos de la entidad. Además, "debería promover una planificación a medio y largo plazo de las necesidades de renovación tecnológica", asegurando para ello una dotación presupuestaria adecuada.

Sobre el proceso continuo de identificación y corrección de vulnerabilidades, "el responsable de seguridad deberá asumir la coordinación con el responsable del sistema en las decisiones sobre el empleo de herramientas automatizadas".

Además, el Consejo de Cuentas expresa que se debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración, de acuerdo con lo especificado en el ENS.

Sobre el cumplimiento normativo, el Pleno "debería liderar las actuaciones aún no iniciadas, para dotar a la entidad de las medidas delimitadas en la normativa como aspectos claves", conforme al ENS y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Además, debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza conforme al ENS y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral
Controles eficientes de ciberseguridad.

En el ejercicio de su función fiscalizadora, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de la entidad fiscalizada como único soporte existente de la información económica y financiera y para ello es necesario que existan unos controles eficientes de ciberseguridad, siendo los contemplados en esta fiscalización los más básicos.

La Asociación de Órganos de Control Externo Autonómicos (ASOCEX) aprobó en 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, siendo el Consejo de Cuentas uno de los primeros en programar este tipo de auditorías.

En esta línea, el Consejo fue uno de los primeros órganos de control externo autonómicos en realizar este tipo de fiscalizaciones. Trabajos que se iniciaron en 2021 con los análisis de la ciberseguridad en siete ayuntamientos de tamaño intermedio de la Comunidad.

Abordando también desde 2022 las capitales de provincia, pensando en el impacto que esta materia puede tener en la vida de los ciudadanos. Con el informe sobre el Ayuntamiento de Zamora se completa esta segunda secuencia.