El Consejo de Cuentas ha recomendado al Ayuntamiento de Valladolid que refuerce su política de ciberseguridad, al tiempo que ha valorado el trabajo de la Oficina Técnica de Seguridad puesta en marcha para el impulso y coordinación de las tareas necesarias en esta materia.
El presidente del Consejo, Mario Amilivia, ha presentado este lunes ante la Comisión de Economía y Hacienda de las Cortes de Castilla y León los informes, el de análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio 2022, y la fiscalización de los expedientes justificados al Fondo de Compensación Interterritorial (FCI), ejercicio 2021.
El informe sobre la ciberseguridad en el Ayuntamiento de Valladolid es el cuarto de una capital de provincia. Mediante esta fiscalización se analizaron las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.
Como apunta Amilivia, "todos los ayuntamientos capitales de provincia han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo", con tareas importantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal.
En este caso, se ha analizado la situación existente hasta el pasado ejercicio 2023, sin perjuicio de comprobaciones realizadas en años anteriores.
En el informe se deduce que la Concejalía de Planificación y Recursos, existente durante la anterior etapa municipal de PSOE y VTLP, "no realiza todas las acciones necesarias para una dirección efectiva de la política de seguridad informática, especialmente en el ámbito de impulso de la cobertura de plazas, del nombramiento de los principales responsables de la gestión y seguridad informática".
Así, señalan que la entidad dispone de 18 puestos relacionados con las tecnologías de la información, pero solo están cubiertos "doce".
El ayuntamiento, recoge Europa Press, tiene en general, dada su estructura y dimensión, un sistema con "una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local".
Sin embargo, se observan "algunas carencias en cuanto a la ubicación de cierto equipamiento ante contingencias que pudieran afectar a la red".
Con relación a las conclusiones relativas a la implantación de los controles básicos de ciberseguridad, los resultados reflejaron deficiencias generalizadas en la mayoría de ellos, pues se entiende que no alcanzan "un nivel de seguridad adecuado" en el momento en que se practicó la auditoría.
La última conclusión refiere los avances en la aplicación del Real Decreto311/2022, por el que se regula el Esquema Nacional de Seguridad, constatándose que la entidad está trabajando en la adaptación a este nuevo Esquema Nacional en base al plan de adecuación elaborado por la Oficina Técnica de Seguridad, con el perfil de cumplimiento para ayuntamientos de gran tamaño.
El Consistorio, destacan, dispone de esta Oficina desde octubre de 2022.
Entre las recomendaciones que emite el informe, se destaca en primer lugar, que el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas en la revisión.
"Debería asimismo promover un "compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa", elaborando una estrategia alargo plazo, estableciendo una "gobernanza de tecnologías de la información adecuada comenzando por solventar la situación en cuanto a plazas relevantes como la de responsable de seguridad".
Con relación al entorno tecnológico, se recomienda el impulso por parte del alcalde de la adecuada dotación de las plazas contempladas en la RPT para garantizar una estructura que cumpla los principios de seguridad como "función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información".
Finalmente, en cuanto al cumplimiento normativo, el Consejo recomienda que "el Pleno siga liderando las actuaciones ya iniciadas para dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en el Esquema Nacional de Seguridad".
El Pleno también debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el Esquema Nacional de Seguridad, "con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral".
Grupos
En el turno de los grupos, añade Ical, la 'popular' Paloma Vallejo calificó de "prioritario" la implantación de los controles de seguridad, valoró el informe realizado un año después de la postpandemia y destacó que este informe, en la etapa final de Óscar Puente, no se puede poner en duda la profesionalidad del personal encargado.
También, resaltó que la Concejalía competente no haya realizado el esfuerzo para la cobertura de las plazas y subrayó que en la relación de puestos de trabajo de 2003 con 29 plazas un tercio está sin cubrir, por lo que valoró que el Consejo "ha dulcificado los datos" en su informe.
"Ante ante la vista de esta información no estamos ante una buena gestión", resumió la procuradora, que incidió en lo recogido en las conclusiones de falta de personal y de que los procesos están en periodo de inicio o no han empezado. "No son opiniones, son datos", aseveró.
En una comparativa, indicó que el Ayuntamiento de Salamanca ocupa el primer puesto en seguridad, el de Valladolid el segundo empatado con Burgos y detrás el de Palencia.
El procurador de Vox Francisco Javier Carrera expresó la preocupación ante "un informe demoledor" sobre el control informático en este caso del ayuntamiento más grande de la Comunidad, lo que interpretó que denota "la absoluta falta de preocupación del equipo de gobierno para tener una seguridad" que merece el consistorio.
"Es palmario y evidente, la mejora que tiene por delante el ayuntamiento", aseveró el parlamentario , que puso el foco "en la absoluta dejadez que ha dejado el equipo socialista y la completa inseguridad de los procedimientos del Ayuntamiento de Valladolid".
El procurador socialista Pedro González, que lamentó la complacencia de PP y Vox con los informes de la Junta y la posición contraria si atañe a una institución gobernada por el PSOE, argumentó que todos los ayuntamientos "están a la carrera" para avanzar en los controles de seguridad, como también el de Valladolid.
González realizó una comparación con el de Valladolid y encontró falta de plazas y un informe de madurez del 67 por ciento, en el caso de Salamanca. Sobre el consistorio vallisoletano, afirmó que hay una partida de 500.000 euros de fondos europeos para avanzar en la seguridad informática.
No obstante, pidió prudencia para difundir todas las carencias en seguridad para no poner en alerta a los hacker informáticos y se mostró convencido de que el resto de informes del resto de ayuntamientos estarán en la misma línea.
Ante el resultado del informe, José Ramón García (UPL) confió en que el Ayuntamiento de Valladolid acepte las recomendaciones del Consejo de Cuenta, cuente con más apoyo y presupuesto y mejore la plantilla dedicada al control de la ciberseguridad.