O Consello de Contas de Galicia presentou este venres o informe de fiscalización dos controis básicos de ciberseguridade do Concello de Lugo en 2024, un documento que conclúe que o nivel global de madurez é insuficiente e que a gobernanza municipal debe reforzarse para cumprir plenamente coas esixencias do Esquema Nacional de Seguridade (ENS).
O análisis, elaborado a partir dos indicadores da guía CCN-STIC-824, sitúa o índice de madurez xeral no 55%, o que equivale a un nivel N2, definido como “repetible pero intuitivo”. En termos prácticos, isto implica que a maioría dos controis se aplican de forma operativa, pero con carencias na súa formalización documental e con ámbitos nos que é necesario implantar melloras estruturais. O índice de cumprimento, que compara o nivel alcanzado co mínimo esixido —fixado no 80% para esta fiscalización—, evidencia que o Concello aínda está lonxe do estándar requirido.
Ningún dos oito controis básicos analizados alcanza o umbral do 80%. O mellor resultado corresponde ao rexistro da actividade dos usuarios, con un 65% de madurez e un índice de cumprimento do 81%, aínda que aínda sen chegar ao nivel N3, no que os procesos deben estar estandarizados, documentados e acompañados de accións formativas.
[FOTO: Imagen relacionada con el desarrollo de los acontecimientos]
Os detalles da noticia
No extremo contrario sitúanse o proceso continuo de identificación e remediación de vulnerabilidades e as configuracións seguras de software e hardware, ambos cun 45%. O inventario de dispositivos físicos queda no 55%, o control do software no 58%, o uso de privilexios administrativos no 64%, as copias de seguridade no 58% e o cumprimento normativo e a gobernanza no 49%.
O órgano fiscalizador advirte, ademais, de que a actual estrutura de gobernanza non garante a correcta implantación dun Sistema de Xestión da Seguridade da Información que asegure a ciberresiliencia da entidade. Aínda que durante a auditoría se constatou certo grao de concienciación por parte dos responsables municipais, o informe identifica carencias relevantes. Entre elas, o reducido tamaño do equipo interno encargado da seguridade, o que dificulta o desenvolvemento de iniciativas sostidas no tempo e aumenta a dependencia de provedores externos para a implantación e mantemento de solucións tecnolóxicas. Esta limitación de recursos repercute na falta de documentación formal, na debilidade dos procedementos e na aplicación non sistemática de medidas preventivas.
O Consello tamén sinala como unha das principais debilidades a ausencia dunha política de seguridade actualizada e formalmente aprobada, o que impide establecer criterios claros, responsabilidades definidas e procedementos normalizados para a xestión de riscos. Tampouco existe un Comité de Seguridade nin están formalmente definidos os roles e responsabilidades en materia de seguridade esixidos polo ENS, o que dificulta unha implantación coherente das medidas e unha resposta estruturada ante incidentes.
[FOTO: Fotografía do lugar mencionado na noticia]
Mirando ao futuro
En canto ao cumprimento normativo, o informe aprecia un nivel razoable de adecuación en materia de seguridade da información, aínda que advirte aspectos que deben corrixirse para garantir o seu cumprimento efectivo. Entre as recomendacións formuladas figuran a actualización dos sistemas que estean fóra de soporte, a revisión e difusión da Política de Seguridade da Información, a mellora do proceso de copias de seguridade —incluíndo probas periódicas de recuperación—, a for
Únete a la conversación
Regístrate gratis con tu email para comentar en las noticias. Tu opinión importa.