La ciberseguridad del Concello de A Coruña, a examen

La ciberseguridad, señala el Consello de Contas de Galicia, es «una de las tareas prioritarias» que vigilar, ante los «riesgos» que afrontan los servicios públicos. El órgano acaba de emitir informes sobre la seguridad informática en 2023 del Ayuntamiento de A Coruña, analizando ocho aspectos, y en ninguno de ellos llega al objetivo mínimo de «madurez» que marca. De media, el Concello queda en el 69,9% de cumplir los parámetros deseados, frente al 71,8% de Vigo y el 62,4% de Ourense. El expediente incluye un documento de alegaciones municipales de este año que explica las medidas que se están implantando, después de que el Consello les enviase su evaluación a finales de 2024, y fuentes municipales indican que ya estaban implantando iniciativas para blindar la seguridad cibernética «antes incluso de que nos lo comunicasen».

Inventario y control de dispositivos y de software

Se cumple al 69% del objetivo en lo relativo a los dispositivos, y al 72% en relación a los programas. El Consello pide medidas como actualizar sistemas informáticos obsoletos o incluir en los dispositivos móviles en el inventario del Ayuntamiento. El Concello prometió hacer lo segundo, y mejorar el control dentro de su iniciativa para llevar servicios a la nube.

Más de un cuarto de los coruñeses que usan Internet sufrieron incidentes de ciberseguridad: unos 48.000 en un año

Identificar y remediar vulnerabilidades

Este parámetro es en el que hay menos cumplimiento, apenas el 47% de lo recomendado. Se pide crear un procedimiento de seguridad específico para identificar potenciales debilidades y arreglarlas, y el Gobierno local promete «un programa de trabajo para su implementación».

Controlar los privilegios administrativos

Se cumple al 72% de lo requerido. El Consello reclama implementar una política de contraseñas para entrar en el sistema municipal, que el Ayuntamiento dice que está en proceso de aprobación y difusión. También pide revisar, al menos una vez al año, las cuentas de usuarios que pueden entrar en aplicaciones críticas, y el Gobierno local señala que está estudiando crear categorías de cuentas en base a qué pueden acceder.

Una inteligencia artificial nacida en A Coruña luchará contra la ciberdelincuencia

Tener configuraciones seguras

Uno de los puntos más débiles, que se cumple al 56%. El informe pide, entre otras medidas, hacer comprobaciones que el Concello afirma que tiene en marcha.

Registrar la actividad de los usuarios

El cumplimiento de este objetivo, que permite fiscalizar qué hacen los que emplean los sistemas del Concello, queda en el 59%. Se recomienda implantar un procedimiento que controle el registro de usuarios en «sistemas críticos», y el Gobierno local lo valora.

Realizar copias de seguridad de datos y sistemas

El objetivo está muy avanzado, al 92% del objetivo, pero el Consello de Contas propone emplear criptografía para proteger las copias de seguridad. El Ayuntamiento responde que lo valorará.

Cumplir normas de seguridad

El Consello pide aprobar normativas y procedimientos y dar publicidad a la ciberseguridad, aunque reconoce que el cumplimiento ya está al 93% del objetivo. El Ayuntamiento indica que este semestre aprobará normativas de seguridad, y luego «se realizará la difusión de la política de seguridad y normativas». Se hará lo mismo con procedimientos de seguridad.

Buenas prácticas

El informe reconoce al Ayuntamiento que tiene un sistema «robusto» de copias de seguridad y que cumple la ley. También se comprobó que está «trabajando en un marco normativo robusto» para gestión de seguridad de la información y que puso en marcha un sistema NAC para mejorar la seguridad.