Los dos pueblos de Salamanca advertidos por la falta de seguridad informática adecuada

El Consejo de Cuentas de Castilla y León ha advertido este jueves, 6 de marzo, que los ayuntamientos de Béjar y Ciudad Rodrigo, en la provincia de Salamanca, siguen precisando de un «impulso importante» para conseguir un nivel de seguridad adecuado y garantizar el cumplimiento de la normativa de aplicación, desde que en 2021 se realizasen las respectivas fiscalizaciones en materia de seguridad informática por parte de la entidad.

Así lo ponen de manifiesto los informes de seguimiento de la aplicación de las recomendaciones que les fueron realizadas a ambas entidades a raíz de las auditorías de las que fueron objeto en 2021, en las que se revisaron los controles básicos de seguridad, detectándose, en ambos casos, una «situación muy vulnerable» frente a riesgos informáticos.

Las recomendaciones efectuadas hace tres años precisaban en ambos casos para su implementación de «un impulso por parte de la Corporación». En esta línea, se ha revisado la aplicación efectiva de estas recomendaciones y, en concreto, «si se han adoptado medidas para la aprobación de un plan estratégico en materia de tecnologías de la información que incluya planificación, dotación de recursos y plazos para la aprobación de las normativas en materia de seguridad obligatorias, la subsanación de las deficiencias de carácter técnico detectadas y la realización del proceso de certificación del Esquema Nacional de Seguridad (ENS)».

En ambos informes se actualiza el análisis de la situación en 2024 de los controles básicos de ciberseguridad en relación con la revisión realizada en 2021, comprobándose la implantación de las medidas que ya se recomendaron en el análisis anterior. Ambos trabajos están publicados en la página web de la institución y serán presentados en las Cortes por el presidente del órgano autonómico de control externo, Mario Amilivia.

Los auditores han estudiado las actuaciones, medidas y procedimientos adoptados, en su caso, desde la anterior auditoría, de manera que permitan garantizar la efectiva implantación de los ocho controles básicos de ciberseguridad analizados, entre estos, el inventario y control de dispositivos, la identificación y corrección de vulnerabilidades o configuraciones seguras de software y hardware de los distintos dispositivos.

Y de resultas de ello, las conclusiones referidas a ambos ayuntamientos en los respectivos nuevos informes reflejan que estos siguen «careciendo de una estrategia de tecnologías de la información» y no han establecido «una gobernanza adecuada» que les permita «afrontar con garantías el proceso de dotar a sus sistemas de información de un nivel de seguridad suficiente».

En el caso de Béjar, las actuaciones realizadas para cumplir con las recomendaciones del Consejo de Cuentas se concretan en la creación de una plaza de técnico informático, aunque actualmente sin cubrir, ya que sólo hay un responsable TIC contratado con carácter temporal; la adquisición de equipos y contratación de servicios que mejoran la seguridad de la red y la inclusión de cláusulas específicas en los contratos de servicios informáticos para cumplir determinadas medidas de seguridad.

A pesar de que con las medidas adoptadas en estos tres años a fin de revertir la situación se ha mejorado su calificación global, estas «siguen siendo claramente insuficientes, siendo preciso un impulso importante para conseguir un nivel de seguridad adecuada y garantizar el cumplimiento de la normativa».

De otra parte, en línea con las recomendaciones, Ciudad Rodrigo adquirió equipamiento para la instalación centralizada de aplicaciones que proporciona la Diputación de Salamanca; realizó la mejora del proceso de copias de seguridad y contratación de un servicio de respaldo en la nube para copias de seguridad, así como el nombramiento del delegado de protección de datos.

En el caso del ayuntamiento mirobrigense, se mantiene la situación por la que «cuenta con apoyo específico en materia de administración electrónica, nóminas, padrón y gestión presupuestaria, a través del Centro Informático Provincial de Salamanca». Las actuaciones realizadas «son muy insuficientes» ya que «no suponen un compromiso firme con la seguridad informática, especialmente relevante en lo que se refiere a la faltad de aprobación de una política de seguridad como paso fundamental para iniciar el proceso de adaptación al ENS».

En el caso del Ayuntamiento de Béjar, el índice de cumplimiento global de ciberseguridad ha pasado del cinco por ciento en 2021 al 20 por ciento en 2024. En el caso de Ciudad Rodrigo, el índice de cumplimiento global pasó del cinco al ocho por ciento. Ante estos nuevos resultados, el Consejo de Cuentas realizó cinco nuevas recomendaciones al consistorio bejarano y cuatro al de Ciudad Rodrigo a efectos de que alcancen «niveles de ciberseguridad adecuados».