Valladolid debe reforzar su política de ciberseguridad
El Consejo de Cuentas recomienda solventar las deficiencias técnicas detectadas
Imagen de archivo / EUROPA PRESS - Archivo (EUROPA PRESS)
Valladolid
El Consejo de Cuentas recomienda al Ayuntamiento de Valladolid en un informe presentado este lunes en las Cortes de Castilla y León que refuerce su política de ciberseguridad. El presidente del Consejo, Mario Amilivia, ha presentado este informe sobre la ciberseguridad en el Ayuntamiento de Valladolid, que es el cuarto de una capital de provincia.
Mediante esta fiscalización se analizaron las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.
Mario Amilivia, presidente del Consejo Cuentas de CyL, habla sobre la ciberseguridad en el Ayuntamiento de Valladolid
00:24
Compartir
El código iframe se ha copiado en el portapapeles
Como apunta Amilivia, "todos los ayuntamientos capitales de provincia han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo", con tareas importantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal. En este caso, se ha analizado la situación existente hasta el pasado ejercicio 2023, sin perjuicio de comprobaciones realizadas en años anteriores.
Puestos por cubrir
En el informe se deduce que la concejalía de Planificación y Recursos, existente durante la anterior etapa municipal de PSOE y VTLP-- "no realiza todas las acciones necesarias para una dirección efectiva de la política de seguridad informática, especialmente en el ámbito de impulso de la cobertura de plazas, del nombramiento de los principales responsables de la gestión y seguridad informática".
Recibe la newsletter diaria de Radio Valladolid
Toda la información de necesitas para empezar el día
Así, señalan que la entidad dispone de 18 puestos relacionados con las tecnologías de la información, pero solo están cubiertos "doce". El ayuntamiento tiene en general, dada su estructura y dimensión, un sistema con "una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local". Sin embargo, se observan "algunas carencias en cuanto a la ubicación de cierto equipamiento ante contingencias que pudieran afectar a la red".
Con relación a las conclusiones relativas a la implantación de los controles básicos de ciberseguridad, los resultados reflejaron deficiencias generalizadas en la mayoría de ellos, pues se entiende que no alcanzan "un nivel de seguridad adecuado" en el momento en que se practicó la auditoría.
La última conclusión refiere los avances en la aplicación del Real Decreto311/2022, por el que se regula el Esquema Nacional de Seguridad, constatándose que la entidad está trabajando en la adaptación a este nuevo Esquema Nacional en base al plan de adecuación elaborado por la Oficina Técnica de Seguridad, con el perfil de cumplimiento para ayuntamientos de gran tamaño. El Consistorio, destacan, dispone de esta Oficina desde octubre de 2022.
Recomendaciones
Entre las recomendaciones que emite el informe, se destaca en primer lugar, que el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas en la revisión.
"Debería asimismo promover un "compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa", elaborando una estrategia a largo plazo, estableciendo una "gobernanza de tecnologías de la información adecuada comenzando por solventar la situación en cuanto a plazas relevantes como la de responsable de seguridad".
Con relación al entorno tecnológico, se recomienda el impulso por parte del alcalde de la adecuada dotación de las plazas contempladas en la RPT para garantizar una estructura que cumpla los principios de seguridad como "función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información".
Finalmente, en cuanto al cumplimiento normativo, el Consejo recomienda que "el Pleno siga liderando las actuaciones ya iniciadas para dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en el Esquema Nacional de Seguridad".
El Pleno también debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el Esquema Nacional de Seguridad, "con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral".
