La Sindicatura de Comptes considera inacceptable la situació de la governança de la ciberseguretat
La Sindicatura de Comptes considera inacceptable la situació de la governança de la ciberseguretat en les entitats de dret públic i societats mercantils de la Generalitat, i parla d’una deixadesa de responsabilitats per part dels òrgans de govern i de direcció. Al seu juí, la forma en què s’organitza i es controla la seguretat digital no respon a les necessitats d’uns servicis que gestionen dades sensibles i recursos econòmics rellevants.
L’òrgan fiscalitzador ha analitzat les activitats de prevenció d’incidents de ciberseguretat en 30 entitats del sector públic instrumental de la Generalitat. Després de revisar el seu funcionament, conclou que, en general, no es proporciona una direcció estratègica clara en esta matèria ni es garantix el compliment d’uns objectius de seguretat, quan estos existixen. També advertix que els riscos de ciberseguretat no es gestionen de manera adequada, la qual cosa deixa a estes entitats exposades enfront d’atacs o fallades internes.
Només dos de les trenta entitats estudiades aconsegueixen un indicador de maduresa de la governança de la ciberseguretat superior al 80%, llindar que la Sindicatura considera adequat. Es tracta de Infraestructures i Serveis de Telecomunicacions i Certificació, SA (ISTEC), amb un 98,5%, i de Ciutat de les Arts i de les Ciències (CACSA), amb un 86,5%. Estos resultats mostren que és possible implantar una gestió sòlida de la seguretat digital, encara que ara com ara són una excepció dins del conjunt del sector públic analitzat.
Majoria amb maduresa molt deficient
En l’extrem oposat, 23 de les entitats avaluades presenten un índex de maduresa inferior al 50%. Este nivell reflectix una situació molt deficient de la governança de la ciberseguretat, que en alguns casos és pràcticament inexistent. Segons la Sindicatura, això implica que falten polítiques clares, procediments documentats i controls interns efectius, la qual cosa incrementa la probabilitat de patir incidents greus.
La preocupació augmenta perquè algunes d’estes entitats amb baixa maduresa desenrotllen activitats crítiques per a la ciutadania o gestionen pressupostos importants. Quan no es protegix adequadament la informació ni es planifiquen respostes davant incidents, un atac informàtic o una bretxa de seguretat pot afectar directament la prestació de servicis essencials i a l’ús correcte dels fons públics. Per això, la Sindicatura considera especialment greu la situació d’estos organismes.
Dins del grup amb pitjors resultats, s’identifiquen entitats de molt xicoteta grandària que, per si soles, no compten amb capacitat organitzativa suficient per a desplegar una estructura de ciberseguretat completa. L’informe subratlla que estes organitzacions haurien de rebre suport de la conselleria a la qual estan adscrites, de manera que es compartisca coneixement tècnic, s’unifiquen criteris i se centralitzen uns certs recursos per a reforçar la seua protecció enfront de riscos digitals.
L’informe també identifica un bloc intermedi format per cinc entitats l’indicador de maduresa de les quals se situa entre el 50% i el 80%. En estos casos, la Sindicatura qualifica la situació de deficient. Encara que disposen d’alguns elements de gestió de la ciberseguretat, es detecten carències importants, com la falta de seguiment sistemàtic dels riscos, l’absència d’una planificació integral o l’escassa implicació de les direccions en la supervisió dels sistemes d’informació.
La Sindicatura recorda que un incident de ciberseguretat pot tindre conseqüències significatives. Entre elles, esmenta la interrupció de servicis crítics, que afecta directament el funcionament de l’administració i als drets de la ciutadania; la pèrdua o filtració d’informació sensible, incloses dades personals dels ciutadans; el mal reputacional a les entitats implicades i possibles conseqüències legals i econòmiques derivades de l’incompliment d’obligacions normatives.
Per estes raons, l’òrgan fiscalitzador sosté que els òrgans superiors de les conselleries a les quals estan adscrites estes entitats haurien d’exercir un lideratge actiu i compromés en matèria de seguretat de la informació dins del seu àmbit competencial. Eixe lideratge implica marcar prioritats, exigir plans d’acció, destinar recursos suficients i supervisar el grau de compliment de les mesures implantades.
La Sindicatura defén que resulta imprescindible establir una governança de la ciberseguretat adequada en totes les entitats de la seua competència. Això suposa definir responsabilitats clares, aprovar polítiques de seguretat coherents, avaluar regularment els riscos i revisar els sistemes i procediments per a adaptar-los a l’evolució de les amenaces. Sense estos elements, l’administració pública queda exposada a fallades que poden comprometre tant el servici a la ciutadania com la confiança en les institucions.
