Unha auditoría de Contas detecta "incidencias" nos controis básicos de ciberseguridade da Deputación de Ourense

Unha auditoría do Consello de Contas revelou "incidencias" e "parámetros insuficientes" nos controis básicos de ciberseguridade da Deputación de Ourense durante o exercicio de 2022. As conclusións do informe foron presentadas este xoves polo conselleiro da área de Corporacións Locais do Consello de Contas de Galicia, Simón Rego, nunha rolda de prensa celebrada na sede do goberno provincial.

En concreto, o informe de fiscalización dos controis básicos de ciberseguridade relativo ao exercicio 2022 sinala que o índice de madurez xeral dos controis "é insuficiente" e que "debe mellorar" para conseguir os niveis esixidos polo Esquema Nacional de Seguridade. Nun informe de 36 páxinas, tamén se resaltan como as "incidencias" máis relevantes que a Deputación "non ten actualizada as políticas de seguridade da información e obxectivos estratéxicos", polo que a súa utilidade está limitada por non axustarse ás necesidades actuais da entidade.

Do mesmo xeito, apuntan que o Comité de Seguridade TIC "non tivo actividade durante os dous últimos anos" e que "non existe equipo de traballo nin órganos colexiados que asumisen as funcións". Unha circunstancia que, sinalan, impide a coordinación efectiva das áreas e a adopción de medidas de mellora continua. Tamén cualifican como "insuficiente" a asignación de recursos humanos específicos á seguridade da información, facendo que moitas das accións e tarefas importantes non se leven a cabo pola carga de traballo noutras áreas.

Así mesmo, indican que se verificou "un insuficiente a nivel de cumprimento das normas de seguridade da información", aínda que neste apartado identificáronse aspectos positivos como o importe de 17.908 euros de obrigacións recoñecidas en investimentos para o desenvolvemento de proxectos, e tamén a coordinación entre responsables das áreas implicadas en seguridade cos órganos directivos e responsables dos procesos fiscalizados.

Así pois, a revisión do cumprimento da legalidade en materia relacionada coa seguridade da información puxo de manifesto "un nivel razoable de adecuación á normativa". Ademais, o informe traslada que "os controis se realizan, pero existen controis parcialmente establecidos ou non formalizados documentalmente" e aspectos nos que deben levar a cabo accións para mellorar.

Na lista de recomendacións, o Consello de Contas aposta por establecer un sistema anti malware a todos os activos da organización, atender e resolver as propostas realizadas no plan de adecuación ao Esquema Nacional de Seguridade ou formalizar o procedemento actual, e aprobar un procedemento de seguridade específico para a identificación e remediación de vulnerabilidades entre outros puntos.

RESPOSTA DA DEPUTACIÓN

Pola súa banda, a Deputación de Ourense sinalou que presta "total colaboración" para a mellora continua da súa ciberseguridade, como trasladou a vicepresidenta da institución, Marta Nóvoa, que estivo acompañada polo director da área de Transparencia, Fernando Suárez, e por distintos técnicos da institución. Alí, destacou o "intenso traballo" que realizou o goberno provincial na protección dos seus sistemas informáticos, con máis investimentos, formación e iniciativas de concienciación para "loitar contra as intrusións na rede corporativa".

Neste sentido, subliñou que a auditoría "reflicte unha boa valoración" no capítulo de copias de seguridade, unha ferramenta que cualificou de "fundamental" para crear barreiras contra "os ataques de piratas informáticos" e apuntou que o informe "tamén valora positivamente a fortaleza do centro de proceso de datos", que é o encargado de acoller toda a infraestrutura que dá soporte tecnolóxico á institución. "Os resultados desta auditoría non son estáticos senón dinámicos no tempo. Non dubido de que o traballo que se está realizando quedará reflectido na valoración que se realice en próximas análises", manifestou a vicepresidenta.

Ciberseguridade | Fonte: Arquivo