Foto: SINDICATURA DE COMPTESVALÈNCIA (EP). Los ayuntamientos de la Comunitat Valenciana han realizado progresos en sus índices de su ciberseguridad desde la anterior auditoría de la Sindicatura en 2019-2020 y han atendido parcialmente algunas de las recomendaciones que se les efectuaron. El índice de madurez medio, sin embargo, solo alcanza el 52,4% (44,1% en 2019/2020), y sigue siendo "insuficiente" y debe mejorar para alcanzar el 80% exigido por el ENS.
Así se extrae del informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana para 2021 que ha publicado la Sindicatura de Comptes.
Respecto a las tres diputaciones, el índice de madurez medio de los CBCS alcanza el 61,6%, que tampoco cumple el objetivo establecido en el ENS. De hecho, la de Alicante es la única, junto al Ayuntamiento de Benidorm, que alcanza este 80%.
La mayoría de los ayuntamientos se encuentran por encima del 60%, pero hay varios con porcentajes muy bajos. Torrevieja y Torrent son los peor parados por este estudio, con un 15 y un 18% respectivamente. Paterna obtiene un 20, Alicante un 25% y la Diputación de Valencia, un 30%.
En el lado contrario, cerca de los objetivos se encuentran la Diputación de Castellón (75%) y los ayuntamientos de València (70%), Orihuela (69%), Elda (65%), Sagunt (61%), Alcoi y Castelló de la Plana (60%).
Aunque la mayoría de los ayuntamientos ha mejorado el cumplimiento de la normativa relacionada con la seguridad de la información, la revisión de la Sindicatura ha puesto de manifiesto que "el grado de cumplimiento es, en general, deficiente, existiendo incumplimientos significativos generalizados".
Los resultados del trabajo muestran que las entidades, en general, no tienen establecida una adecuada gobernanza de la ciberseguridad, tal como exigen tanto la normativa como un sistema de control interno bien establecido. Las organizaciones requieren el compromiso e implicación de sus órganos superiores. La alta dirección tiene la responsabilidad de establecer una adecuada gobernanza de la ciberseguridad.
Este liderazgo "debe hacerse efectivo mediante la participación activa de los órganos superiores en la gestión de las TIC y en la gestión de riesgos, en la aprobación de políticas, normativas y procedimientos de seguridad de la información, estableciendo planes estratégicos, velando por el correcto funcionamiento de los órganos y roles designados en materia de seguridad, dotando de recursos materiales y humanos e impulsando la implantación de controles sobre los sistemas de información y las comunicaciones". "Únicamente de esta manera podrá establecerse con éxito un sistema eficaz de gestión continuada de seguridad de la información", han indicado.
El grado de atención a las recomendaciones de la Sindicatura ha sido muy bajo en algunos ayuntamientos. Siete de los quince ayuntamientos auditados no han atendido completamente a ninguna de las recomendaciones que se les realizaron. En contraposición, ocho entidades han atendido, al menos parcialmente, la mayoría de las recomendaciones efectuadas.
Entre las nuevas recomendaciones, la Sindicatura ha instado a aprobar formalmente procedimientos que describan las acciones y controles implantados, el establecimiento de soluciones para monitorizar y detectar comportamientos anómalos en las redes corporativas, el despliegue de herramientas para gestionar vulnerabilidades, restringir el acceso de dispositivos físicos no autorizados a la red corporativa o actualizar los sistemas obsoletos.
El crecimiento de ingresos recurrentes, especialmente importante en el segmento de la ciberseguridad -45%- y un pujante ritmo de internacionalización invitan a la compañía a anunciar un nuevo ciclo con nuevas adquisiciones y fusiones más ambiciosas
