Administracions

La Sindicatura de Comptes alerta de dèficits en ciberseguertat a l’Ajuntament de Mataró

La Sindicatura de Comptes ha emès un informe de 38 pàgines alertant sobre dèficits en la gestió de la ciberseguretat de l’Ajuntament de Mataró i en la que també els fa recomanacions per actualitzar i revisar la normativa de seguretat o unificar protocols, entre altres. L’informe analitza la protecció informàtica del consistori durant el 2023 revisant els programes de gestió comptable, pressupostària i tributària, així com diferents elements de gestió interna.

El síndic Manel Rodríguez Tió determina que l’índex de maduresa en relació a l’Esquema Nacional de Seguretat (ENS) és de nivell 2 sobre 5 i adverteix que no hi ha procediments escrits ni formació per blindar la ciberseguretat i tenir capacitat de reacció davant situacions inesperades. L’ENS fixa que el nivell mínim és de 3, el que significa un percentatge del 80% i el nivell general del consistori dels controls bàsics de seguretat és del 53,11% després de fer vuit controls bàsics que ha de superar una administració. Si bé constata que l’Ajuntament està compromès amb la ciberseguretat, l’insta a actualitzar la normativa i millorar l’estratègia interna per evitar atacs informàtics. També recomana que caldria formalitzar en manuals i protocols tots els procediments que de manera informal i periòdica està duent a terme el personal, unificar els inventaris dels dispositius i els servidors, elaborar un pla de manteniment del programari i identificar i actualitzar tots els sistemes operatius que estan fora del període de suport, elaborar un llistat de programari autoritzat i dur a terme revisions periòdiques per detectar el programari no autoritzat, aprovar un procediment unificat de gestió d’usuaris amb privilegis d’administració que defineixi les directrius per a tots els sistemes, fer revisions periòdiques dels registres d’activitat i centralitzar-les en una sola eina.

En concret s’ha fiscalitzat l’inventari i control de dispositius físics; del programari autoritzat i no autoritzat; es va fer un procés continu d’identificació i correcció de vulnerabilitats; l’ús controlat de privilegis administratius; de les configuracions segures del programari i maquinari de dispositius mòbils, portàtils, equips de sobretaula i servidors; del registre de l’activitat dels usuaris; de les còpies de seguretat de dades i sistemes; i del compliment de la legalitat.

L’informe n’exclou la gestió d’òrgans depenents i és el primer d’aquestes característiques que analitza la integritat, la disponibilitat, l’autenticitat, la confidencialitat i traçabilitat de les dades en els entorns informàtics d’un ajuntament. Els propers seran els de Badalona, Santa Coloma de Gramenet i Reus.

Si bé la Sindicatura afirma que hi ha “implicació i compromís” amb la ciberseguretat per part dels òrgans superiors de l’Ajuntament i els gestors de les diferents àrees, també avisa que hi ha “mancances” que dificulten implementar un sistema “completament efectiu”.

En aquest sentit, assenyala que la política de seguretat de la informació no està completa ni actualitzada, que no s’han formalitzat ni aprovat totes les normes necessàries i que hi ha dependència jeràrquica entre el responsable de seguretat i el responsable del sistema. Al mateix temps, retreu al consistori que crees el 2017 el Comitè de Seguretat en Protecció de Dades però que aquest no s’hagi reunit mai.



Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.