El Consello de Contas de Galicia presentó este viernes el informe de fiscalización de los controles básicos de ciberseguridad del Concello de Lugo en 2024, un documento que concluye que el nivel global de madurez es insuficiente y que la gobernanza municipal debe reforzarse para cumplir plenamente con las exigencias del Esquema Nacional de Seguridad (ENS).

El análisis, elaborado a partir de los indicadores de la guía CCN-STIC-824, sitúa el índice de madurez general en el 55%, lo que equivale a un nivel N2, definido como “repetible pero intuitivo”. En términos prácticos, esto implica que la mayoría de los controles se aplican de forma operativa, pero con carencias en su formalización documental y con ámbitos en los que es necesario implantar mejoras estructurales. El índice de cumplimiento, que compara el nivel alcanzado con el mínimo exigido —fijado en el 80% para esta fiscalización—, evidencia que el Concello se encuentra aún lejos del estándar requerido.

Ninguno de los ocho controles básicos analizados alcanza el umbral del 80%. El mejor resultado corresponde al registro de la actividad de los usuarios, con un 65% de madurez y un índice de cumplimiento del 81%, aunque todavía sin llegar al nivel N3, en el que los procesos deben estar estandarizados, documentados y acompañados de acciones formativas.

CONTENIDO PATROCINADO

Salado Golf & Beach Resort

Descubre la oportunidad de inversión más exclusiva del Caribe. Villas de lujo con retorno garantizado del 12% anual en Punta Cana.

Conoce más →

[FOTO: Imagen relacionada con el desarrollo de los acontecimientos]

Los detalles de la noticia

En el extremo contrario se sitúan el proceso continuo de identificación y remediación de vulnerabilidades y las configuraciones seguras de software y hardware, ambos con un 45%. El inventario de dispositivos físicos se queda en el 55%, el control de software en el 58%, el uso de privilegios administrativos en el 64 %, las copias de seguridad en el 58 % y el cumplimiento normativo y la gobernanza en el 49 %.

El órgano fiscalizador advierte además de que la actual estructura de gobernanza no garantiza la correcta implantación de un Sistema de Gestión de Seguridad de la Información que asegure la ciberresiliencia de la entidad. Aunque durante la auditoría se constató un cierto grado de concienciación por parte de los responsables municipales, el informe identifica carencias relevantes. Entre ellas, el reducido tamaño del equipo interno encargado de la seguridad, lo que dificulta el desarrollo de iniciativas sostenidas en el tiempo y aumenta la dependencia de proveedores externos para la implantación y mantenimiento de soluciones tecnológicas. Esta limitación de recursos repercute en la falta de documentación formal, en la debilidad de los procedimientos y en la aplicación no sistemática de medidas preventivas.

El Consello también señala como una de las principales debilidades la ausencia de una política de seguridad actualizada y formalmente aprobada, lo que impide establecer criterios claros, responsabilidades definidas y procedimientos normalizados para la gestión de riesgos. Tampoco existe un Comité de Seguridad ni están formalmente definidos los roles y responsabilidades en materia de seguridad exigidos por el ENS, lo que dificulta una implantación coherente de las medidas y una respuesta estructurada ante incidentes.

[FOTO: Fotografía del lugar mencionado en la noticia]

Mirando al futuro

En cuanto al cumplimiento normativo, el informe aprecia un nivel razonable de adecuación en materia de seguridad de la información, aunque advierte de aspectos que deben corregirse para garantizar su cumplimiento efectivo. Entre las recomendaciones formuladas figuran la actualización de los sistemas que estén fuera de soporte, la revisión y difusión de la Política de Seguridad de la Información, la mejora del proceso de copias de seguridad —incluyendo pruebas periódicas de recuperación—, la formalización de un procedimiento específico para la gestión de vulnerabilidades y la actualización del plan de adecuación al ENS con vistas a obtener la certificación.

Asimismo, el órgano fiscalizador insta al Concello a aprobar un procedimiento unificado de gestión de usuarios, formalizar las actuaciones de soporte y actualización, revisar el procedimiento de configuración segura de sistemas aplicando criterios de seguridad por defecto y mínima funcionalidad, realizar auditorías anuales conforme a la normativa de factura electrónica y documentar adecuadamente el tratamiento de los registros de auditoría conforme a los requisitos del ENS.

Pese a las deficiencias detectadas, el informe también recoge avances en el plano técnico. El Concello dispone de herramientas de monitorización, entre ellas un sistema de gestión de eventos e información de seguridad (SIEM) gestionado por un centro de operaciones de seguridad externo, que permite centralizar y analizar eventos para detectar posibles amenazas. Además, ha desplegado un sistema de control de acceso a la red basado en el estándar 802.1X, que autentica de forma dinámica los dispositivos antes de permitir su conexión a la red corporativa.

En conjunto, el Consello de Contas concluye que, aunque existen mecanismos técnicos relevantes, el Concello de Lugo debe reforzar su estructura organizativa, formalizar procedimientos y elevar el nivel de madurez de sus controles para cumplir plenamente con los estándares exigidos y garantizar una protección eficaz de sus sistemas de información.

## El Concello presenta carencias en ciberseguridad: le falta madurez y debe reforzarse

## Ninguno de los aspectos analizados aprueba

## Nivel razonable de seguridad de la información

[FOTO: Vista panorámica de la zona donde se desarrollan los hechos]

Un poco de historia

## Avances en el plano técnico para detectar amenazas