Ciberseguridade do Concello de Santiago: unha materia mellorable segundo o Consello de Contas

O Consello de Contas de Galicia vén de facer público o seu informe sobre a ciberseguridade do Concello de Santiago, materia prioritaria de fiscalización para o ente autonómico e que sitúa o "índice de madurez" dos controis básicos de ciberseguridade (CBCS) municipais nunha porcentaxe do 53%, lonxe do obxectivo que establece o Esquema Nacional de Seguridade (ENS), que marca como índice de cumprimento (relación entre índice de madurez e mínimo esixido) no 80%. Este dato no caso de Compostela sitúase no 65,7%.

O ente autonómico indica no seu informe o mellor resultado entre oito marcadores de ciberseguridade: rexistro da actividade dos usuarios, que acada o 60% (cun índice de cumprimento do 75%), pero que tampouco chega ao nivel requirido do N3. A peor situación é a do proceso continuo de identificación e remediación de vulnerabilidades e mais as configuracións seguras do software e hardware, xa que nos dous casos o índice de madurez é do 45% e o índice de cumprimento do 56%.

Recomendacións de mellora

O Consello de Contas establece na súa auditoria unha serie de melloras, priorizando aquelas que teñen unha maior importancia, ao supoñer un risco máis alto de seguridade, e definindo tamén o custo económico de cada unha desta medidas que recomenda adoptar. Así, entre as medidas a adoptar ás que o ente autonómico concede unha maior relevancia están: identificar e actualizar todos os sistemas que se atopan fóra do período de soporte; elaborar e formalizar un procedemento de seguridade específico para a identificación e remediación de vulnerabilidades; e realizar un plan de adecuación ao ENS e implantar as accións pendentes para obter a certificación.

Destas tres recomendacións, a primeira delas é que a supón un custo menor para as arcas municipais, mentres que a formalización dun "procedemento de seguridade específico para remediación de vulnerabilidades" supón, segundo o Consello de Contas, un custo medio. A terceira das recomendacións que o ente consultivo considera de alto risco, a realización dun plan de adecuacións ao ENS para obter a certificación", é acción que supón un custo máis alto para o Concello.

Sistema de Xestión da Seguridade da Información

O Consello de Contas especifica no seu informe que "é responsabilidade dos órganos superiores do Concello, e dos titulares dos postos de secretaría, intervención e tesourería, que existan controis axeitados nos sistemas de información e comunicacións", polo que á hora de implantar con éxito o Sistema de Xestión da Seguridade da Información (SXSI) que "garanta a ciberresiliencia" o organismo auditor aconsella ao Concello de Santiago unha serie de medidas para mellorar a súa eficiencia.

As carencias máis destacadas, no camiño da ciberresiliencia débense á "limitación do equipo interno", unha dificultade que fai que o Concello de Santiago sexa nesta materia "máis dependente de provedores externos". A isto hai que engadir que no Pazo de Raxoi non se conta aínda cunha "política de seguridade formalmente aprobada" nin existe un Comité de Seguridade.

Con todo, o Consello de Contas tamén pon en valor dous aspectos da ciberseguridade municipal que cumpren o manual de Boas Prácticas. En primeiro lugar recoñecen que "a Entidade dispón de distintas ferramentas de monitorización, entre elas un sistema Security Information and Event Management (SIEM) que permite recompilar, analizar e xestionar eventos de seguridade co obxectivo de detectar posibles ameazas", e tamén valora positivamente o "despregue do sistema NAC baseado no uso do protocolo/norma 802.1X nos dispositivos de acceso da electrónica de rede", unha medida de seguridade que "facilita o mantemento do sistema, xa que só se permite o acceso aos activos que pertenzan ao dominio do Concello".