La Sindicatura de Comptes constata carencias en la ciberseguridad del Ayuntamiento de Mataró

La Sindicatura de Comptes avisa que la gestión de la ciberseguridad del Ayuntamiento de Mataró es deficiente. Lo recoge un informe hecho público este lunes, en que analiza la protección informática del consistorio durante el 2023. Después de revisar los programas de gestión contable, presupuestaria y tributaria, así como diferentes elementos de gestión interna, el síndico determina que el índice de madurez es de nivel 2 sobre 5 y advierte que no hay procedimientos escritos ni formación para blindar la ciberseguridad y tener capacidad de reacción ante situaciones inesperadas. Si bien constata que el Ayuntamiento está comprometido con la ciberseguridad, lo insta a actualizar la normativa y mejorar la estrategia interna para evitar ataques informáticos.

En el informe, presentado por el síndico Manel Rodríguez Tió este verano y hecho público ahora, se analiza la gestión de la seguridad durante el 2023 excluyendo los entes dependientes. Es el primer informe de estas características para evaluar en un ayuntamiento la integridad, la disponibilidad, la autenticidad, la confidencialidad y trazabilidad de los datos en los entornos informáticos.

La Sindicatura de Comptes ve irregularidades en sueldos de altos cargos del Ayuntamiento de Barcelona

La fiscalización realizada concluye que el Ayuntamiento de Mataró logra un índice de madurez general del 53,11% en los ocho controles básicos que tiene que superar la administración. Si se compara el nivel de madurez con el nivel de cumplimiento que requiere el Esquema Nacional de Seguridad (ENS), el porcentaje medio es del 66,39%. El síndico lamenta que ninguno de los ocho controles llega al 80%, si bien señala que hay tres que lo rozan.

El mejor resultado es el relativo a inventario y control de dispositivos físicos, mientras que la peor situación la presenta todo aquello relacionado con las configuraciones seguras del software y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores.

El síndico también advierte sobre el resultado obtenido en dos de los ocho controles: el relativo al uso controlado de privilegios administrativos y el que engloba las configuraciones seguras del software y dispositivos. En estos dos casos, se detecta que el proceso para garantizar la ciberseguridad existe, pero no se gestiona, de forma que “hay una efectividad insuficiente”.

Si bien la Sindicatura afirma que hay “implicación y compromiso” con la ciberseguridad por parte de los órganos superiores del Ayuntamiento y los gestores de las diferentes áreas, también avisa que hay “carencias” que dificultan implementar un sistema “completamente efectivo”.

En este sentido, señala que la política de seguridad de la información no está completa ni actualizada, que no se han formalizado ni aprobado todas las normas necesarias y que hay dependencia jerárquica entre el responsable de seguridad y el responsable del sistema. Al mismo tiempo, reprocha al Ayuntamiento que haga siete años de la creación del Comité de Seguridad en Protección de Datos, pero que este no se haya reunido nunca.

En cuanto al cumplimiento de la legalidad, la Sindicatura afirma que la revisión hecha durante el 2023 constata un nivel “insatisfactorio” y avisa que los máximos órganos del Ayuntamiento son los responsables de garantizar el seguimiento de las normativas y de impulsar las medidas necesarias para que así sea.

El síndico apunta que el Ayuntamiento le ha manifestado que trabaja para adaptar la institución en el Esquema Nacional de Seguridad a través de varias acciones y nuevas normativas. Aun así, lamenta que a fecha de junio del 2024 no había acreditado que hubiera empezado a hacer este trabajo.

Para revertir la situación detectada con el informe, la Sindicatura plantea hasta siete recomendaciones al consistorio mataronense. Por un lado, recalca que los órganos de gobierno tendrían que ser más activos para actualizar la normativa de seguridad e incentivar la cultura de la ciberseguridad “con una dirección estratégica y coordinada”.

También señala la necesidad de formalizar todos los procedimientos a través de manuales y protocolos, así como unificar los inventarios de los dispositivos y los servidores. Al mismo tiempo, pide crear un plan de mantenimiento del software y actualizar todos los sistemas operativos que están fuera del periodo de apoyo.

Por último, plantea la creación de un listado de software autorizado y un control periódico sobre el mismo, la elaboración de un proceso unificado de gestión de los usuarios con privilegios y un calendario de revisiones periódicas de los registros de actividad.

Después del informe de Mataró, la Sindicatura de Comptes tiene previsto publicar análisis similares sobre Badalona, Santa Coloma de Gramenet y Reus. En los próximos años, la previsión es completar el análisis de la ciberseguridad de todos los municipios con una población superior a los 100.000 habitantes, según apuntan desde el ente.