El Ayuntamiento de Benavente "con la aprobación de la Política de Seguridad de la Información, ha dado un paso relevante para afrontar el proceso de dotar a sus sistemas de un nivel de seguridad suficiente", pero "sigue careciendo de una estrategia como herramienta para planificar las necesidades de Tecnologías de la Información (TI) municipales a largo plazo, garantizando así que se alcanza y se mantiene el nivel de seguridad adecuado".

Esta es la conclusión principal del informe de fiscalización realizado por el Consejo de Cuentas en materia de seguridad informática en el Ayuntamiento de Benavente, que será presentado hoy en una comisión de las Cortes de Castilla y León.

El Consejo de Cuentas, que independientemente de las incidencias detectadas en el Informe, ha destacado la disponibilidad y colaboración municipal a través del interlocutor designado para esta fiscalización, señala que "en ningún caso las conclusiones ponen en cuestión su capacidad o profesionalidad, considerándose que las conclusiones se dirigen a problemas de diseño o de inversión en medios humanos y materiales".

El Consejo señala cuatro actuaciones para cumplir con las recomendaciones realizadas. Así, pide la aprobación de la Política de Seguridad de la Información y plantea la estabilización de una de las dos personas dedicadas a la Tecnología de la Información municipal porque "sigue habiendo un contexto de provisionalidad que no se ha abordado en su totalidad". En tercer lugar aborda la contratación de servicios y compra de equipamiento tecnológico, "aunque la renovación no ha sido completa y quedan todavía elementos relevantes sin actualizar". Por último, recomienda la adecuación a la normativa de protección de datos.

"El Ayuntamiento, como se puso de manifiesto en la anterior auditoría, se encontraba en una situación muy vulnerable frente a riesgos informáticos. En el periodo de tres años transcurrido ha comenzado a tomar algunas medidas para revertir la situación, mejorando su calificación global. Pero estas medidas, siendo algunas de gran relevancia, son todavía insuficientes, siendo preciso un impulso importante para conseguir un nivel de seguridad adecuado y garantizar el cumplimiento de la normativa de aplicación", dice el documento, que analiza a lo largo de 45 páginas la situación de la seguridad informática municipal.

Análisis exhaustivo

El informe realiza un exhaustivo análisis del entorno tecnológico municipal, del inventario de hardware y el software autorizado y no autorizado, del proceso continuo de identificación y remedio de las vulnerabilidades de seguridad. También analiza a fondo el uso de privilegios administrativos, las copias de seguridad, y el control de configuraciones seguras de software y hardware en dispositivos móviles, portátiles, equipos de sobremesa y servidores, así como el registro de la actividad de los usuarios y, por último, el cumplimiento de la legalidad vigente.

En la mayoría de estos controles el Ayuntamiento se mantiene en el nivel que estaba, aunque en algunos casos ha mejorado y subido de nivel.

Siete recomendaciones

Tras las conclusiones, el informe del Consejo de Cuentas realiza siete recomendaciones específicas. Así, la alcaldesa, dice, "debería impulsar, de manera decidida y continuada, las actuaciones para acometer, inmediatamente, la adecuación del Ayuntamiento al Esquema Nacional de Seguridad (ENS) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, para que el Ayuntamiento alcance un nivel de ciberseguridad adecuado".

De igual modo le recomienda la realización de una estrategia para la Tecnología de la Información municipal que contemple "un análisis de necesidades actuales y futuras, asegurando la dotación de recursos materiales y humanos imprescindibles para alcanzar un nivel de seguridad acorde al uso intensivo y la relevancia que suponen los sistemas de información como soporte de los procesos fundamentales de la gestión municipal". En su caso, agrega, "la Diputación de Zamora dispone de un servicio de asistencia a municipios, y específicamente, en materia de administración electrónica, al que el Ayuntamiento de Benavente podría recurrir".

De acuerdo al modelo de gobernanza aprobado en la política de seguridad, los responsables de la Información y de los Servicios del Ayuntamiento "deberían, entre otras funciones, establecer y aprobar los requisitos de seguridad de la información y los servicios, encargándose de su aplicación y verificación, los responsables de la seguridad y de los sistemas". Además, "el Comité de Seguridad del Ayuntamiento debería ejercer sus funciones, entre otras, de coordinación, planificación y seguimiento, para asegurar que se realizan las tareas definidas en la política".

Señala el Consejo de Cuenta sobre el proceso continuo de identificación y corrección de vulnerabilidades que el responsable de seguridad "debería valorar junto con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización periódica de actuaciones como las que se han llevado a cabo desde la anterior auditoría".

Sobre el uso de privilegios administrativos recomienda que el concejal competente impulse la inclusión en todos los contratos de servicios informáticos, de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo a lo especificado en el Esquema Nacional de Seguridad.

"Es urgente que el responsable de seguridad defina un procedimiento para la realización de tareas como la gestión de usuarios administradores, haciendo uso de la política de mínimo privilegio, el cambio de las contraseñas por defecto y la definición de políticas robustas y homogéneas para los sistemas de autenticación".

Por último, y también en el campo de los privilegios, "el Pleno del Ayuntamiento debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el ENS, en concreto con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral".

Alegaciones

El Ayuntamiento presentó tres alegaciones al informe del Consejo de Cuentas y este ha dado respuesta completando así el proceso de fiscalización y el contenido del documento. Se centran en la política de seguridad, en el modelo on-premise, y en el inventario de hardware y las copias de seguridad.

Sobre la primera el Consejo "valora positivamente las mejoras que el Ayuntamiento está realizando y en concreto, la aprobación de la política de seguridad". Sobre la segunda, señala que "no cuestiona la elección del modelo, únicamente plantea como recomendación que se valoren las alternativas y especialmente las que ofrece la Diputación". Respecto a la tercera, no se pronuncia específicamente y reproduce una respuesta que da de forma expresa en los tres casos. Al igual que en las anteriores, no se trata de una alegación sino de una exposición acerca de las actuaciones que se han realizado y las que están planificadas para la elaboración y aprobación de los procedimientos, valorado positivamente en el Informe y, por tanto, no procede su modificación".