A Deputación da Coruña acada os obxectivos de ciberseguridade establecidos polo Esquema Nacional de Seguridade (ENS), segundo o informe do Consello de Contas de Galicia
A Deputación da Coruña acada os obxectivos de ciberseguridade establecidos polo Esquema Nacional de Seguridade (ENS), de obrigado cumprimento para todos os entes públicos. Así o conclúe o informe que elaborou o Consello de Contas para verificar o estado da seguridade informática da Deputación Provincial da Coruña, e máis concretamente, o grao de eficacia de determinado controis básicos de ciberseguridade.
O ente fiscalizador presentaba hai unha semana sendos informes das deputacións provinciais da Coruña e Pontevedra, pechando así o traballo iniciado o pasado ano coa elaboración dos correspondentes aos entes provinciais de Lugo e Ourense.
O ámbito obxectivo específico consiste en proporcionar unha avaliación sobre o deseño e a eficacia operativa de oito controis de seguridade informática, identificando, no seu caso, deficiencias de control interno que puideran afectar negativamente ás cinco dimensións de seguridade contempladas no marco do Esquema Nacional de Seguridade (ENS), e que son: a confidencialidade, a integridade, a dispoñibilidade, a trazabilidade e autenticidade.
Os controis básicos de ciberseguridade avaliados foron: Inventario e control de dispositivos físicos (CBCS 1); Inventario e control de software autorizado e non autorizado (CBCS 2); 3 Proceso continuo de identificación e remediación de vulnerabilidades (CBCS 3); Uso controlado de privilexios administrativos (CBCS 4); Configuracións seguras do software e hardware de dispositivos móbiles, portátiles, equipos de sobremesa e servidores (CBCS 5); Rexistro da actividade dos usuarios (CBCS 6); Copias de seguridade de datos e sistemas (CBCS 7), e Cumprimento normativo (CBCS 8).
As conclusións do informe revelan que os controis revisados presenta unha efectividade suficiente ao situarse os seus índices de madurez por riba dos obxectivos de referencia e niveles de esixencia definidos polo ENS para cada un dos controis. Na práctica, isto tradúcese en que a entidade provincial controla e mide o cumprimento cos procedementos e adopta medidas correctoras cando se require.
Por outra banda, o Consello de Contas conclúe que a Deputación coruñesa ten establecidos os órganos de gobernanza de ciberseguridade necesarios para dispoñer un Sistema de Xestión de Seguridade da Información (SXSI). Obsérvase neste senso, un nivel elevado de compromiso e concienciación sobre a ciberseguridade por parte dos órganos superiores da Deputación, así como dos xestores e responsables das áreas revisadas.
Ao fío do resultado do traballo da avaliación, o informe recoñece as boas prácticas desenvolvidas polo ente provincial como son a súa certificación na categoría media do Esquema Nacional de Seguridade; a adhesión estrita ao Regulamento Xeral de Protección de Datos (RXPD e á factura electrónica; unha xestión da configuración dos equipos conforme aos estándares do Centro Criptolóxico Nacional (CCN), e un Control de Acceso á Rede (NAC) para todos os seus activos.
Así mesmo, e como resultado da fiscalización efectuada, o Consello de Contas de Galicia formula tamén recomendacións xerais para mellorar os niveis de control revisados, xerarquizándoas segundo criterios custo/beneficio en base ao risco potencial a mitigar e o custo estimado da súa implantación.