El presidente del Consejo de Cuentas, Mario Amilivia, presentó 16 informes en la Comisión de Economía y Hacienda del Parlamento autonómico, tres referidos al análisis de la seguridad informática en los ayuntamientos de Béjar, Ciudad Rodrigo y Santa Marta de Tormes, y otros 9 relativos al análisis de la eficacia y eficiencia de la gestión recaudatoria en las diputaciones de la Comunidad.
La presentación de los trabajos de ambas áreas la realizó agrupadamente. A modo de balance, tras esta exposición quedan 14 informes pendientes de comparecencia en la Comisión. En el actual mandato del Consejo, Amilivia ha comparecido ya en 25 ocasiones para presentar 74 informes, un 31% del total histórico. La institución tiene en estos momentos 63 informes en distintas fases de tramitación, expresión del trabajo de control externo permanente que lleva a cabo.
Con relación a los informes sobre la seguridad informática, los primeros de este tipo que realiza el órgano de control externo, Amilivia resumió que “en líneas generales, el nivel de preparación de los ayuntamientos en materia de ciberseguridad no es proporcional a las amenazas”. Argumentó que “las administraciones públicas, a la hora de acometer el desafío de la administración electrónica o de la prestación de servicios de asistencia online, deben ser conscientes de que se convierten en garantes de los datos de los ciudadanos” y que “ahora todo pasa por la seguridad informática”.
Este análisis de carácter pionero, realizado durante 2020 y 2021, se centró en ocho controles básicos de seguridad, un conjunto priorizado de medidas de seguridad orientadas a mitigar los ataques más comunes y dañinos. Adicionalmente se valoraron las recomendaciones de las guías del Centro Criptológico Nacional.
“Los casos de ciberataques al Servicio Público de Empleo Estatal o a la Diputación Provincial de Segovia, que paralizaron durante semanas su actividad, son ejemplos -explicó- de lo necesario de estas revisiones en el marco de la auditoría operativa, no limitada exclusivamente a los sistemas de información contable y financiera”. “Si atendemos a las cifras oficiales, en 2019 se detectaron 3.172 ciber incidentes de peligrosidad muy alta, mientras que en 2020 se han duplicado. El Centro Criptológico Nacional ha detectado 82.530 incidentes durante 2020, mientras que en el año anterior se reportaron en torno a 43.000”, detalló.
Por ello, el efecto que se busca con las auditorías informáticas es el de “gota de aceite” para expandir la cultura de la ciberseguridad. “De hecho, estamos verificando que tras estas primeras fiscalizaciones otros ayuntamientos empiezan a contratar soluciones o a organizar servicios internos. Queda un largo camino que recorrer, pero no es algo optativo. La fiabilidad de la información de nuestras administraciones, que es la de los ciudadanos, está en juego”, apostilló.
En general, los ayuntamientos mostraron una actitud de colaboración, muy relevante en aquellos con sistemas de información internos con infraestructura propia y personal de tecnologías de la información escaso, que han visto el trabajo realizado como una oportunidad de poner el foco en carencias que llevan tiempo sufriendo y que, según estos técnicos, no han sido una prioridad para la dirección.
Entre otros problemas detectados, figuran la percepción propia de estos ayuntamientos como pequeños y por tanto sin necesidad de tener que cumplir con requisitos que solo ven proporcionados en administraciones de mayor tamaño, y la justificación en la falta de recursos, bien con el argumento de que la ciberseguridad no vende y/o por falta de impulso político, y la baja percepción del riesgo en algunos casos.
