El Consejo de Cuentas ha instado al Ayuntamiento de Zamora a poner en marcha diversas actuaciones tecnológicas y regulatorias para reforzar su seguridad informática, un ámbito en el que aprecia “mucho margen de mejora” y en el que ya había alertado a otras entidades locales.
Estas conclusiones se recogen en el informe sobre seguridad informática en Zamora, aprobado este martes por el Pleno del Consejo de Cuentas, que formula diez recomendaciones al Consistorio. Entre ellas, impulsar las actuaciones necesarias para corregir los incumplimientos normativos y las carencias técnicas detectadas al revisar los controles, siguiendo la línea de las observaciones realizadas a otros ayuntamientos de capitales de provincia ya auditados.
El órgano fiscalizador subraya que, para avanzar en esta adaptación, organismos como el Centro Criptológico Nacional, la FEMP o la Agencia Española de Protección de Datos disponen de guías detalladas con modelos completos dirigidos a ayuntamientos de características similares, que pueden utilizarse como referencia para facilitar el proceso.
Asimismo, considera que el Pleno municipal debe asumir y promover un “compromiso firme” con el cumplimiento de la normativa y diseñar una estrategia a largo plazo que defina una gobernanza adecuada de las tecnologías de la información.
El Consejo de Cuentas añade que es necesario regularizar y reforzar la cobertura de los puestos clave de la plantilla vinculados a las tecnologías de la información; dotar de recursos suficientes a la Unidad de Tecnología de la Información y Comunicaciones, y completar el proceso mediante auditorías o autoevaluaciones de cumplimiento del ENS, valorando su realización conjunta con las relativas a la protección de datos personales.
En relación con el entorno tecnológico municipal, el informe plantea que la Alcaldía debería impulsar “las acciones necesarias” para cubrir de forma adecuada los puestos previstos en la relación de puestos de trabajo, de modo que se garantice una estructura que cumpla el principio de seguridad como función diferenciada y que pueda asumir las tareas ligadas a la gestión de los sistemas de información.
Igualmente, aconseja formalizar el nombramiento del responsable de seguridad y asegurar su correcta integración en la política de seguridad, además de garantizar una documentación suficiente y permanentemente actualizada del entorno de tecnologías de la información.
Respecto al inventario y control de activos y al uso de privilegios administrativos, el Consejo de Cuentas estima que se debe impulsar un inventario integral y actualizado de activos que recoja todas las tipologías relevantes y asegure la calidad e integridad de la información.
También plantea establecer procedimientos y herramientas que permitan la actualización automatizada o sistemática de esos inventarios, con el objetivo de incrementar su fiabilidad y asegurar un control efectivo sobre los activos municipales, así como promover una planificación a medio y largo plazo de las necesidades de renovación tecnológica, respaldada por una dotación presupuestaria adecuada.
En cuanto al proceso continuo de identificación y corrección de vulnerabilidades, el responsable de seguridad deberá coordinarse con el responsable del sistema en las decisiones sobre el uso de herramientas automatizadas. Además, debería impulsar la inclusión, en los contratos de servicios informáticos, de cláusulas que permitan controlar cómo se prestan dichos servicios y cómo se gestionan y supervisan los privilegios de administración, conforme a lo previsto en el ENS.
Por último, en el ámbito del cumplimiento normativo, el Consejo de Cuentas indica que el Pleno municipal debe liderar las actuaciones aún pendientes para dotar a la entidad de las medidas exigidas por la normativa como elementos clave, de acuerdo con el ENS y con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Asimismo, considera necesario aprobar una normativa que asegure que el registro de actividad de los usuarios se lleva a cabo conforme al ENS y a la regulación sobre protección de datos personales, función pública o normativa laboral, con el fin de disponer de controles de ciberseguridad realmente eficientes.