El presidente del Consejo de Cuentas, Mario Amilivia, ha advertido este lunes de que “por lo general, el nivel de preparación de los ayuntamientos en ciberseguridad no es proporcional a las amenazas”, según los informes sobre la seguridad informática, los primeros de este tipo que realiza el órgano de control externo.
Se trata de siete informes referidos al análisis de la seguridad informática en los ayuntamientos de Astorga, Béjar, Benavente, Ciudad Rodrigo, La Bañeza, Santa Marta de Tormes y Villaquilambre, a tenor de los cuales, tal y como ha insistido Amilivia, la preparación de dichas instituciones en la materia dista aún muy mucho de la elevada amenaza de la ciberdelincuencia.
En este sentido, ha argumentado que “las administraciones públicas, a la hora de acometer el desafío de la administración electrónica o de la prestación de servicios de asistencia online, deben ser conscientes de que se convierten en garantes de los datos de los ciudadanos” y que “ahora todo pasa por la seguridad informática”.
Este análisis de carácter pionero, realizado durante 2020 y 2021, se centró en ocho controles básicos de seguridad, un conjunto priorizado de medidas de seguridad orientadas a mitigar los ataques más comunes y dañinos. Adicionalmente se valoraron las recomendaciones de las guías del Centro Criptológico Nacional.
“Los casos de ciberataques al Servicio Público de Empleo Estatal o a la Diputación Provincial de Segovia, que paralizaron durante semanas su actividad, son ejemplos -explicó- de lo necesario de estas revisiones en el marco de la auditoría operativa, no limitada exclusivamente a los sistemas de información contable y financiera”.
Se duplican los incidentes
“Si atendemos a las cifras oficiales, en 2019 se detectaron 3.172 ciber incidentes de peligrosidad muy alta, mientras que en 2020 se han duplicado. El Centro Criptológico Nacional ha detectado 82.530 incidentes durante 2020, mientras que en el año anterior se reportaron en torno a 43.000”, detalló.
Por ello, el efecto que se busca con las auditorías informáticas es el de “gota de aceite” para expandir la cultura de la ciberseguridad.
“De hecho, estamos verificando que tras estas primeras fiscalizaciones otros ayuntamientos empiezan a contratar soluciones o a organizar servicios internos. Queda un largo camino que recorrer, pero no es algo optativo. La fiabilidad de la información de nuestras administraciones, que es la de los ciudadanos, está en juego”, apostilló.
En general, los ayuntamientos mostraron una actitud de colaboración, muy relevante en aquellos con sistemas de información internos con infraestructura propia y personal de tecnologías de la información escaso, que han visto el trabajo realizado como una oportunidad de poner el foco en carencias que llevan tiempo sufriendo y que, según estos técnicos, no han sido una prioridad para la dirección.
Entre otros problemas detectados, figuran la percepción propia de estos ayuntamientos como pequeños y por tanto sin necesidad de tener que cumplir con requisitos que solo ven proporcionados en administraciones de mayor tamaño, y la justificación en la falta de recursos, bien con el argumento de que la ciberseguridad no vende y/o por falta de impulso político, y la baja percepción del riesgo en algunos casos.
En lo relativo al entorno tecnológico, de los siete ayuntamientos fiscalizados, cuatro hacían uso de los servicios de su diputación provincial en materia de asistencia informática y tres optaron por adoptar sus propias soluciones de manera independiente.
Solo existía una estructura de tecnologías de la información y la comunicación (TIC) en dos ayuntamientos que, en ambos casos, no utilizan los servicios de la diputación. Sus recursos son insuficientes, sin disponer de tiempo para elaborar un procedimiento, documentar sus sistemas o mantener actualizados los inventarios si los hubiera.
Un tercer ayuntamiento que no utiliza los servicios de la diputación optó por una externalización completa, sin disponer de personal con conocimientos necesarios para mantener el control sobre la prestación.
Con respecto a los cuatro ayuntamientos que usan los servicios de la diputación, no existe personal técnico propiamente dicho en ninguno, realizando todos ellos contrataciones a empresas de mantenimiento informático para las tareas de gestión diaria.
En cuanto a la contratación de servicios TIC, en todos los casos se encontraron carencias muy relevantes y con respecto al uso de los servicios de la correspondiente diputación, los convenios son muy escuetos y los recursos se utilizan en otras ocasiones sin que se regulen formalmente las condiciones.
Durante la evaluación de los controles básicos de seguridad los resultados reflejaron deficiencias generalizadas en la implantación de la mayoría de los controles, no alcanzando ningún ayuntamiento un nivel de seguridad adecuado.