Noticias
La Diputación de A Coruña alcanza los objetivos de ciberseguridad establecidos por el Esquema Nacional de Seguridad (ENS), según el informe del Consello de Contas de Galicia
Las conclusiones del informe revelan que los controles revisados presentan una efectividad suficiente al situarse sus índices de madurez por encima de los objetivos de referencia y niveles de exigencia definidos por el ENS. La entidad provincial controla y mide el cumplimiento con los procedimientos y adopta medidas correctoras cuando es necesario.
La Diputación de A Coruña alcanza los objetivos de ciberseguridad establecidos por el Esquema Nacional de Seguridad (ENS), de obligado cumplimiento para todos los entes públicos. Es la conclusión del informe que elaborado por el Consello de Contas de Galicia para verificar el estado de la seguridad informática de la Diputación provincial de A Coruña, y más concretamente, el grado de eficacia de determinados controles básicos de ciberseguridad.
El ente fiscalizador presentaba hace una semana sendos informes de las diputaciones provinciales de A Coruña y Pontevedra, cerrando así el trabajo iniciado el pasado año con la elaboración de los correspondientes a los entes provinciales de Lugo y Ourense.
El ámbito objetivo específico consiste en proporcionar una evaluación sobre el diseño y la eficacia operativa de ocho controles de seguridad informática, identificando, en su caso, deficiencias de control interno que habían podido afectar negativamente a las cinco dimensiones de seguridad contempladas en lo marco del Esquema Nacional de Seguridad (ENS), y que son: la confidencialidad, la integridad, la disponibilidad, la trazabilidad y autenticidad.
Los controles básicos de ciberseguridad evaluados fueron: Inventario y control de dispositivos físicos (CBCS 1); Inventario y control de software autorizado y no autorizado (CBCS 2); 3 Proceso continuo de identificación y remediación de vulnerabilidades (CBCS 3); Uso controlado de privilegios administrativos (CBCS 4); Configuraciones seguras del software y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores (CBCS 5); Registro de la actividad de los usuarios (CBCS 6); Copias de seguridad de datos y sistemas (CBCS 7), y Cumplimiento normativo (CBCS 8).
Las conclusiones del informe revelan que los controles revisados presentan una efectividad suficiente al situarse sus índices de madurez por encima de los objetivos de referencia y niveles de exigencia definidos por el ENS para cada uno de los controles. En la práctica, esto significa que la entidad provincial controla y mide el cumplimiento con los procedimientos y adopta medidas correctoras cuando si requiere.
Por otra parte, el Consello de Contas concluye que la Diputación coruñesa tiene establecidos los órganos de gobernanza de ciberseguridad necesarios para disponer un Sistema de Gestión de Seguridad de la Información (SGSI). Se observa en este sentido, un nivel elevado de compromiso y concienciación sobre la ciberseguridad por parte de los órganos superiores de la Diputación, así como de los gestores y responsables de las áreas revisadas.
Al hilo del resultado del trabajo de la evaluación, el informe reconoce las buenas prácticas desarrolladas por el ente provincial como son su certificación en la categoría media del Esquema Nacional de Seguridad; la adhesión estricta al Reglamento General de Protección de Datos (RGPD) y a la factura electrónica; una gestión de la configuración de los equipos conforme a los estándares del Centro Criptológico Nacional (CCN), y un Control de Acceso a la Red (NAC) para todos sus activos.
Asimismo, y como resultado de la fiscalización efectuada, el Consello de Cuentas de Galicia formula también recomendaciones generales para mejorar los niveles de control revisados, jerarquizándolas según criterios coste/beneficio en base al riesgo potencial a mitigar y el coste estimado de su implantación.