'Pincha' la ciberseguridad del Ayuntamiento de Segovia: solo cumple uno de los ocho criterios a examen

El órgano de control externo justifica el análisis en la necesidad de disponer de «información económica y financiera fiable». Para ello, es imperioso que haya unas medidas de ciberseguridad «eficientes», arguye el documento referido a los datos recabados el año pasado, pero publicado el pasado mes de mayo.

Esta premisa abarca desde las «aplicaciones informáticas hasta las bases de datos subyacentes y los sistemas operativos instalados en los equipos». La fiscalización del Consejo de Cuentas posee una doble finalidad. Por un lado, identificar posibles deficiencias de control interno que puedan redundar de manera negativa en la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los datos, la información y de los activos de la entidad local.

Por otra parte, el segundo punto de mira está enfocado a proporcionar documentación relevante sobre el grado de protección cibernética y su capacidad para continuar con la actividad en caso de producirse un ataque, así como acciones que mejoren las defensas digitales del Ayuntamiento de Segovia.

El órgano autonómico matiza que al ser un campo de evaluación tan amplio, la verificación se concentra en los controles catalogados como «básicos» dentro de un marco «de prestigio» reconocido por los organismos internacionales. En él se someten a examen una serie de criterios de ciberseguridad. En este informe se analizan ocho puntos, incluidos la utilización de procesos y herramientas para realizar copias de seguridad de la información crítica y el cumplimiento de la norma vigente. Cada uno obtiene un resultado, una calificación según el grado de madurez alcanzado en los procesos. Cuanto más alto sea el nivel, mayor es la protección que aporta el criterio evaluado.

El objetivo de cumplimiento del 80% que se fija para cada baremo es inalcanzable, por el momento, en siete de los ocho epígrafes de la auditoría. El Ayuntamiento de Segovia solo 'aprueba' el apartado sobre copias de seguridad de datos y sistemas, con un porcentaje del 88%. La auditoría externa le reconoce al Consistorio la realización de recuperaciones a demanda de información y la puesta en marcha de medidas «efectivas» para garantizar la protección de las copias de seguridad, entre otras acciones.

La situación global de la seguridad de la institución es del 56%, pone de relieve el organismo regional de control, 24 puntos por debajo del objetivo requerido de cumplimiento.

El profuso informe sobre la seguridad informática del Ayuntamiento de Segovia contiene 49 conclusiones, algunas de ellas incorporan las alegaciones que presentó en marzo pasado el Consistorio. Es el caso de la referida a las medidas adoptadas por la Concejalía de Turismo, Innovación y Digitalización y Promoción Económica. El departamento -reza el análisis del Consejo de Cuentas de Castilla y León- «realiza todas las acciones necesarias para una dirección efectiva de la política de seguridad informática». Sin embargo, la evaluación detecta «carencias muy importantes en el ámbito de una adecuada relación de puestos de trabajo y en el impulso de la cobertura de plazas».

En este capítulo, el órgano auditor se ratifica en que no hay constancia de que se haya nombrado un responsable de sistemas «de manera inequívoca, lo cual evitaría cualquier ambigüedad». El ente autonómico añade que es «fundamental la participación tanto del responsable de sistemas como del de seguridad en la Comisión Técnica de Administración Electrónica y esta debe efectuarse como vocales y no como asesores o personal técnico».

Al examinar el inventario de dispositivos físicos, el Consejo de Cuentas acepta otra de las alegaciones del Ayuntamiento, aunque no tanto como refutación sino para mejorar el contenido del informe. Y es que concluye que hay dos métodos de gestión que «no están adecuadamente actualizados ni sincronizados, lo que implica una disminución de la fiabilidad». En la escala de madurez, la calificación obtenida equivale a decir que la entidad «no dispone de un ambiente estable para la prestación del servicio requerido. El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes». La prueba al inventario de hardware se salda con un índice de cumplimiento del 45%, a 35 puntos del objetivo.

El control del software, tanto el autorizado como el que no lo está, se queda aún poco más lejos. El grado de ejecución es del 43%. Entre las apreciaciones que hace el órgano auditor está la ausencia de un plan formalizado de mantenimiento de activos ni de compra de licencias de programas informáticos. Lo que se hace es que cada año se hacen renovaciones y adquisiciones «según el criterio del personal y sujetas a limitaciones presupuestarias, lo que supone asumir riesgos» a la falta de un soporte robusto de software.

Otro criterio es el proceso constante de identificación y corrección de vulnerabilidades del sistema informático. El nivel de cumplimiento se queda en el 49%. El Ayuntamiento de Segovia dispone de una política de alerta frente a posibles incidencias en la seguridad; pero el informe viene a decir que se queda corto y le pide más, ya que la administración local «confía en la aplicación automática de los parches de los fabricantes para su resolución».

Esta forma de actuar conlleva, a tenor del análisis elaborado y publicado, un «riesgo elevado» de que se pase por alto una brecha crítica en el sistema. Así, se abren las puertas y las ventanas para que irrumpa la amenaza de un ataque cibernético, advierte el auditor en este epígrafe. Por estas razones, el nivel de madurez asignado a este criterio se repite y pone en duda la fiabilidad.

Al someter a evaluación el uso controlado de privilegios administrativos, se comprueba, por ejemplo, la eficacia de las contraseñas para impedir usurpaciones. El Ayuntamiento de Segovia aprueba esta asignatura con un 57% de cumplimiento, pero aún le falta camino por recorrer para alcanzar la meta del 80%, lo que revela la necesidad de refuerzos. Es el caso de que «no se han definido políticas homogéneas para los sistemas de autenticación». Esta carencia «propicia fallos de seguridad potencialmente relevantes», alerta el Consejo de Cuentas, que a la hora de fiscalizar y calificar este criterio en concreto vuelve a otorgarle el nivel de madurez que advierte de la inestabilidad y la impredecibilidad del sistema.

Es el mismo resultado extraído tras analizar la configuración de seguridad de los ordenadores y de los programas y aplicaciones digitales en dispositivos móviles, portátiles, servidores y equipos de sobremesa. Este criterio tiene el dudoso honor de ser el peor puntuado y el que menor grado de cumplimiento consigue tras la auditoría: el 38%.

La nota mejora al analizar los registros de actividad de los usuarios. El Ayuntamiento los revisa en busca de patrones anormales a través de dos tipos de herramientas de alerta, una automática y otra manual. El informe deduce que «existen procedimientos de trabajo, pero no están suficientemente documentados o no cubren todos los aspectos». Aun así, el porcentaje de cumplimiento no alcanza el 80% y se queda en el 70%, según la escala utilizada en la evaluación.

El Consistorio también 'pincha' en lo que respecta a la incorporación de la normativa sobre ciberseguridad. Si bien el proceso de adaptación al marco regulador vigente en materia de protección de datos «está bastante avanzado», el debe del análisis a este criterio sentencia que solo existe una aportación por parte de la administración municipal a la hora de comprobar las amenazas de tramitaciones de alto riesgo, que es el sistema de huella dactilar, suspendido en el momento de realizar la evaluación.

Asimismo, en este mismo apartado normativo el ente regional señala que no se ha cumplido el artículo de la ley de impulso de la factura electrónica y la creación de un registro contable de recibos al no haberse llevado a cabo la auditoría de sistemas anual. Por todo ello, la calificación que otorga el Consejo de Cuentas en este ámbito baja el grado de madurez y el nivel de cumplimiento, que se queda rezagado en un 55% sobre el 80% del objetivo establecido.