DS(C) nº 331/11 del 11/3/2024

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Buenas tardes, señorías. Se abre la sesión. ¿Algún grupo parlamentario quiere comunicar alguna sustitución? ¿Por el Grupo Parlamentario Socialista?

LA SEÑORA PELEGRINA CORTIJO:

Gracias, presidente. Buenas tardes. Inmaculada García sustituye a Rosa Rubio.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

¿Por el Grupo Parlamentario Vox? Ninguna. ¿Por el Grupo Parlamentario Popular?

EL SEÑOR BERZOSA PEÑA:

Sí. Muchas gracias, señor presidente. Elena Rincón Iglesias en sustitución de Rosa María Esteban Ayuso y doña Lorena de la Fuente Ruiz en sustitución de María de las Mercedes Cófreces Martín.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Muchas gracias. Damos la bienvenida, cómo no, a don Mario Amilivia González, presidente del Consejo de Cuentas, y a todos los acompañantes y los miembros del Consejo de Cuentas. Y teniendo en el orden del día dos puntos, vamos... hemos decidido, por la Mesa, unificarlos. Y, sin más, le doy la palabra para la lectura del primer y segundo punto del orden del día al señor secretario.

Informes

EL SECRETARIO (SEÑOR GONZÁLEZ REGLERO):

Punto primero: Comparecencia del excelentísimo señor presidente del Consejo de Cuentas de Castilla y León para la presentación del Informe de "Análisis de seguridad informática del Ayuntamiento de Salamanca, ejercicio veintidós".

Y punto segundo: Comparecencia del excelentísimo señor presidente del Consejo de Cuentas de Castilla y León para la presentación del Informe de "Análisis de la seguridad informática del Ayuntamiento de León, ejercicio veintidós".

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Para la presentación de ambos informes, tiene la palabra el señor don Mario Amilivia González, presidente del Consejo de... del Consejo de Cuentas de Castilla y León, sin tiempo.

EL PRESIDENTE DEL CONSEJO DE CUENTAS DE CASTILLA Y LEÓN (SEÑOR AMILIVIA GONZÁLEZ):

Muchas gracias, presidente. Y buenas tardes, señorías. Un saludo en nombre propio y del Pleno del Consejo de Cuentas, así como el resto de los funcionarios y colaboradores que nos acompañan esta tarde.

En esta sexta comparecencia quiero, en primer lugar, congratularme -porque es una novedad- por la iniciativa de esta Comisión de Economía y Hacienda de mantener la presentación de informes durante la tramitación de los Presupuestos Generales de la Comunidad, lo que no había sucedido hasta la fecha.

Como había expresado en la comparecencia anterior, este uso parlamentario de establecer un paréntesis de las comparecencias del Consejo de Cuentas durante el debate presupuestario llevaba consigo, inevitablemente, una acumulación de informes, y, en sentido contrario, esta convocatoria, como algunas otras que pueda haber previsiblemente, permitirá mantener una mayor actualidad en la presentación de las auditorías respecto al contenido analizado.

Reflejo del esfuerzo que se está haciendo en esta misma dirección es también el hecho de que esta es la comparecencia número 50 del actual mandato, prácticamente la mitad de las 104 que han tenido lugar en toda la serie histórica del Consejo de Cuentas (21 años). En este medio centenar de sesiones se han expuesto un total de 124 informes; ya significan el 44 % de todos los aprobados en los 21 años de este órgano de control externo.

Tras esta sesión, son solo 8 los informes pendientes de comparecencia, mientras 22 fiscalizaciones se encuentran en elaboración y comienzan a aprobarse las directrices técnicas de 29 auditorías del recientemente aprobado Plan Anual de Fiscalizaciones 2024. En total, 59 trabajos en diferentes fases de tramitación.

Entrando ya en los informes que integran el orden del día, como recordarán, el pasado veintinueve de enero, con ocasión de la presentación del Informe sobre "Análisis de la seguridad informática del Ayuntamiento de Valladolid", estos dos informes fueron mencionados en el curso del debate suscitado entre sus señorías, y ese es el motivo, fundamentalmente, por el que hoy los traigo a esta Comisión. Hemos considerado oportuno continuar hoy con ambas auditorías.

Las dos fiscalizaciones corresponden al Departamento de Entidades Locales, que dirige el consejero Emilio Melero, y la coordinación técnica del informe relativo al Ayuntamiento de Salamanca ha sido ejercida por la auditora Marisol González, y las del Ayuntamiento de León por el auditor Fernando Herrero. A ambos quiero hacer un reconocimiento especial, como al consejero competente de dicho departamento.

Y, en primer lugar, el análisis de la seguridad informática del Ayuntamiento de Salamanca fue aprobado por el Consejo de Cuentas el pasado veintitrés de octubre. Su remisión a este Parlamento tuvo lugar el veintisiete de ese mismo mes y también fue publicado, en su consecuencia, en la web de la Institución.

Mencionar que seguimos, en la... en la elaboración de la auditoría, la Guía Práctica de Fiscalización OCEX 5313 para la revisión de los controles básicos de ciberseguridad, conforme a la más actual metodología internacional en esta materia, siendo el Consejo de Cuentas -como ya he subrayado- uno de los primeros en programar este tipo de auditorías.

Tras una primera serie publicada en dos mil veintiuno, correspondiente a siete ayuntamientos de tamaño intermedio -que este año van a ser objeto también de nuestro plan de dos mil veinticuatro, en el sentido del seguimiento de las recomendaciones que en su día establecimos a los ayuntamientos mencionados-, posteriormente se están abordando las capitales de provincia de la Comunidad, pensando en el impacto que esta materia tiene en la vida de los ciudadanos.

Como bien recordarán, ya han sido presentados los informes correspondientes a los Ayuntamientos de Ávila, Burgos, Palencia y Valladolid, y la serie se completará con los previstos en el Plan Anual de Fiscalizaciones 2024 para los Ayuntamientos de Segovia, Soria y Zamora.

Se trata de una auditoría operativa. En ese sentido, las recomendaciones son fundamentales a la hora de servir de guía y acicate a los ayuntamientos auditados, y pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles. Obviamente, todos los ayuntamientos de capitales de provincia cuentan con un tamaño suficiente para disponer de una estructura de tecnologías de la información y de las comunicaciones de cierta complejidad.

En cuanto a los sistemas de información objeto de fiscalización, se analizan todos aquellos de los que dispone la entidad para realizar sus procesos relevantes de gestión, incluyendo las aplicaciones informáticas que los soportan, las bases de datos subyacentes y los sistemas operativos instalados en los equipos que los constituyen. Además de estos elementos específicos de cada sistema de información, se han revisado los elementos comunes a todos ellos, como los controladores de dominio, los equipos de usuario, el software de virtualización o el equipamiento de red.

El proceso de Recaudación del Ayuntamiento de Salamanca está delegado en un organismo... un organismo autónomo de gestión, que también se ha incluido en el ámbito de este informe en aquellos elementos que son comunes a los sistemas de información del ayuntamiento.

En relación con el alcance, desde un punto de vista temporal, analiza la situación existente hasta el ejercicio dos mil veintitrés. La fiscalización se refiere al estado de la seguridad de la información del Ayuntamiento de Salamanca, por lo que se suscribe esta auditoría a la verificación de las actuaciones, medidas y procedimientos adoptados para la implantación de dichos controles y su grado de eficacia.

También se han tenido en cuenta las recomendaciones contenidas en las guías publicadas por el Centro Criptológico Nacional, organismo perteneciente al Centro Nacional de Inteligencia, que tiene entre sus funciones precisamente el difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. En este punto hay que recordar que algunas de estas guías pueden no concordar exactamente con el nuevo Esquema Nacional de Seguridad, actualizado por el Real Decreto 311/22, de tres de mayo, toda vez que la nueva regulación contempla un plazo de adaptación de 22 meses.

Con carácter general, no han existido limitaciones en el trabajo realizado, habiendo tenido el ayuntamiento una actitud de colaboración. En tal sentido, el Consejo de Cuentas quiere destacar la disponibilidad y colaboración del personal encargado de las funciones de tecnologías de la información, independientemente de las incidencias detectadas.

Quiero dejar patente una vez más que, en ningún caso, las conclusiones ponen en cuestión su capacidad o profesionalidad, considerándose que las conclusiones aluden a problemas de diseño o de inversión en medios humanos y materiales.

En cuanto al trámite de alegaciones, el Ayuntamiento de Salamanca las presentó dentro del plazo establecido. En su escrito, con carácter general, se manifiesta conforme con el informe y destaca, literalmente, "la precisión y el rigor con el que se ha llevado a cabo los trabajos de auditoría, así como el alto nivel de competencia y profesionalidad que han demostrado los auditores para plasmar una visión clara de la situación actual de la seguridad informática del Ayuntamiento de Salamanca".

Expondré, a continuación, de forma resumida, los aspectos más destacables de las 45 conclusiones extraídas del análisis realizado. En lo relativo al entorno tecnológico y sistemas de información del Ayuntamiento de Salamanca, la Concejalía que tiene atribuidas las competencias en materia de informática realiza acciones para una dirección efectiva de la política de seguridad informática. Sin embargo, presenta carencias importantes, especialmente en el ámbito de impulso a la aprobación de una política de seguridad y del nombramiento de los principales responsables de la gestión y seguridad informática.

El ayuntamiento no ha aprobado la política de seguridad exigida por el Esquema Nacional de Seguridad y, por tanto, no cuenta con una estructura de seguridad acorde a la normativa; únicamente dispone de un borrador que define la estructura, pero no concreta la asignación de roles. Como consecuencia, carece de una correcta asignación de responsabilidades sobre la seguridad de sus sistemas de información.

Según la relación de puestos de trabajo, el ayuntamiento dispone de una dotación de 20 puestos relacionados con las tecnologías de la información, estando cubiertos 15, mediante 12 funcionarios de carrera y 3 interinos. No obstante, se están realizando varios procesos selectivos para cubrir las vacantes mencionadas. En todo caso, dicha relación de puestos no contempla, de manera explícita, una división de funciones adaptada al principio de seguridad como función diferenciadora, o como función diferenciada, mejor dicho.

El ayuntamiento dispone de documentación de sus sistemas y procesos de gestión y ha realizado una identificación y categorización, según el Esquema Nacional de Seguridad, de los sistemas de información de los que dispone. Esta es una tarea básica para definir correctamente el alcance de cualquier proceso de adecuación a la normativa en materia de seguridad de la información que se pretenda acometer.

En el Ayuntamiento de Salamanca, en su mayor parte, los servicios y la información se prestan y residen en equipos controlados por la propia entidad e instalados físicamente en sus dependencias, con la excepción del portal web, que reside en un centro de datos virtual. Esta es una opción que precisa contar con personal suficiente y especializado para su mantenimiento y gestión.

Respecto a la estructura de la red corporativa, se concluye que tiene en general, dada su dimensión, un sistema con una adecuada... una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local. El ayuntamiento dispone de soluciones de teletrabajo y acceso remoto tanto para los empleados del Departamento de Tecnologías de la Información y de las Comunicaciones como para el resto de los empleados de la entidad y para empresas externas. Dichas soluciones permiten un nivel de seguridad adecuado.

Entrando ya en las conclusiones relativas a la implantación de los controles básicos de ciberseguridad, definidos por la Asociación de Órganos de Control Externo Autonómicos, estos se evalúan según el modelo de madurez de procesos, que establece 6 niveles: de 0 a 5. Se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado.

En el control 1, referido al inventario y control de dispositivos físicos, de las pruebas realizadas se puede concluir que el proceso de gestión alcanza un índice de madurez L2, en el que la eficacia del proceso depende de la buena suerte y voluntad de las personas. Existe un mínimo de planificación que proporciona una pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas.

En el control 2, sobre el inventario y control de software autorizado y no autorizado, la gestión registra un índice de madurez L1. Dado que el proceso existe, pero no se gestiona, el éxito del proceso depende de la competencia y buena voluntad de las personas, y es difícil prever la reacción ante una emergencia. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta. El éxito del nivel L1 depende de tener personal de alta calidad. Esa es la definición que establece la guía mencionada.

En cuanto al control 3, relativo al proceso continuo de identificación y corrección de vulnerabilidades, el Ayuntamiento de Salamanca alcanza un nivel de madurez L2.

En el control 4, referido al uso controlado de privilegios administrativos, el ayuntamiento también alcanza un índice de madurez L2.

En el control 5, que analiza las configuraciones seguras del software y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores, los resultados se corresponden con un nivel de madurez L1.

Respecto al control 6, sobre el registro de los usuarios, se alcanza un nivel de madurez L3, en el que hay una normativa establecida y procedimientos para garantizar la reacción profesional ante los incidentes; se ejerce un mantenimiento regular. Las oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido o no planificado. El éxito es algo más que buena suerte: se merece.

En el control 7, que revisa las copias de seguridad de datos y sistemas, el ayuntamiento alcanza un índice de madurez L2.

Y, finalmente, en el control 8, que examina el cumplimiento normativo, también se obtiene un índice de madurez L2.

A la vista de los resultados, la situación global de los controles básicos de ciberseguridad presenta un nivel de madurez L2. A su vez, el índice de cumplimiento es del 79 %, que prácticamente alcanza el nivel de madurez L3, que se corresponde con una puntuación del 80 % como objetivo mínimo deseable.

La última conclusión se refiere a los avances en la aplicación del Real Decreto 311/22, por el que se regula el Esquema Nacional de Seguridad. En este aspecto, el Ayuntamiento de Salamanca está trabajando en la adaptación a la nueva regulación, siguiendo el plan de adecuación elaborado y trabajando en la aprobación de la normativa, cuyos borradores se encuentran en estados muy avanzados.

Teniendo en cuenta lo expuesto, el Consejo realizó cinco recomendaciones:

Con carácter general, el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles. Asimismo, el alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, comenzando por la aprobación de una política de seguridad que defina los roles y responsabilidades en materia de seguridad de la información.

En segundo término, dotar al departamento competente de los recursos materiales y humanos necesarios para establecer una segregación de funciones adecuada, así como para la adquisición de las tecnologías y contratación de los servicios que sean precisos para implantar las medidas de seguridad necesarias.

En tercer lugar, específicamente se debía culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su elaboración conjunta con las relativas a protección de datos personales.

Por otra parte, teniendo en cuenta cada una de las áreas por su relevancia, se recomiendan llevar a cabo las siguientes acciones:

En relación con el inventario y control de activos, uso controlado de procesos administrativos, el alcalde debería impulsar una planificación a largo plazo de las necesidades de renovación tecnológica para evitar obsolescencia del hardware y utilización del software sin soporte de fabricante, asegurando una dotación presupuestaria adecuada.

Sobre el proceso continuo de identificación y corrección de vulnerabilidades, el alcalde debería impulsar la inclusión sistemática en la contratación de los servicios informáticos de cláusulas que permitan realizar un control como... cómo se llevan a cabo dichos servicios y el uso y control de los privilegios de la Administración, de acuerdo con lo especificado en el Esquema Nacional de Seguridad.

Y, finalmente, el Pleno del Ayuntamiento debería seguir, en relación con el cumplimiento normativo, liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del Departamento de Tecnologías de la Información acorde y que permita cumplir el principio de seguridad como responsabilidad diferenciada, de acuerdo con lo especificado en el Esquema Nacional de Seguridad.

En relación con el siguiente informe, "Análisis de seguridad informática del Ayuntamiento de León, ejercicio dos mil veintidós", fue aprobado por el Consejo de Cuentas el pasado veintiocho de diciembre; su remisión a estas Cortes tuvo lugar el diez de enero, fecha en la que fue publicado en la web de la Institución. Señalo que es una auditoría operativa, que el tamaño del ayuntamiento es también un tamaño suficiente para disponer de una estructura de las tecnologías de la información y de las comunicaciones de cierta complejidad.

En cuanto a los sistemas de información objeto de fiscalización, me remito a lo señalado con anterioridad en relación con el informe de Salamanca. El alcance es también el ejercicio dos mil veintitrés. No han existido limitaciones. Y también el Consejo de Cuentas quiere destacar la disponibilidad y colaboración del personal encargado, y reiterar que, en ningún caso, las conclusiones ponen en cuestión su capacidad o profesionalidad, considerándose que las conclusiones se dirigen a problemas de diseño o de inversión en medios humanos o materiales.

En cuanto al trámite de alegaciones, el ayuntamiento las presentó dentro de plazo establecido; las modificaciones a las que han dado lugar quedan reseñadas expresamente a pie de página. Y el Consejo ha valorado la situación del ayuntamiento en vista de la realización de los trabajos de campo y de acuerdo con la lógica de todas las evidencias aportadas. Se deja constancia -reitero- de la voluntad y trabajo del ayuntamiento en la mejora y desarrollo de un ámbito tan específico y complejo como es el de la seguridad informática.

Por lo demás, al tratarse de un mismo tipo de auditoría, tanto su planteamiento como su metodología, doy por se... dados todos los antecedentes mencionados en el informe anterior y me voy a centrar en un pequeño resumen sobre las 53 conclusiones extraídas del análisis efectuado.

En lo relativo al entorno tecnológico y sistemas de información del Ayuntamiento de León, la Concejalía que tiene atribuidas las competencias no realiza las acciones necesarias para una dirección efectiva de la política de seguridad informática, especialmente en el ámbito de impulso de la cobertura de plazas y del nombramiento de los principales responsables.

Según la relación de puestos de trabajo, con fecha noviembre de dos mil dieciocho, con sus respectivas modificaciones, el ayuntamiento disponía de una dotación de 23 puestos relacionados con las tecnologías de la información, estando... estando cubiertos 14 de estos puestos mediante 8 funcionarios de carrera y 6 interinos.

Por otra parte, diversos cometidos relativos a las tecnologías de la información se acumulan en una sola persona, incumpliendo la necesaria segregación de funciones derivada del principio de seguridad como función diferenciada. Además, se verifica que la Sección de Innovación se encuentra vacante, lo que dificulta el adecuado ejercicio de sus funciones. En la Sección de Sistemas y Comunicaciones, la ocupación es del 50 %.

Actualmente, la plaza de jefe de Servicio no se encuentra cubierta, siendo el técnico superior de Informática quien ejerce las funciones que tienen encomendadas dicho puesto. Por otro lado, hay 6 plazas en proceso de estabilización.

El ayuntamiento carece de documentación detallada de sus sistemas y procesos de gestión, residiendo el conocimiento prácticamente de manera exclusiva en pocas personas, sin que exista un plan de actuación ante un cambio en el equipo de trabajo. Tampoco ha realizado una identificación y categorización adecuada según el Esquema Nacional de Seguridad. Esta es una tarea básica para definir correctamente el alcance de cualquier proceso de adecuación a la normativa en materia de seguridad de la información... información que se pretenda acometer.

En el Ayuntamiento de León se ha optado en su mayor parte por un modelo mixto de gestión, con una parte de los servicios de la información residenciada en equipos controlados por la propia entidad e instalados físicamente en sus dependencias y, por otra parte, externalizada en el Centro de Supercomputación de Castilla y León.

En el primer caso, se precisa contar con personal suficiente y especializado para su mantenimiento y gestión. Se considera que el personal previsto es suficiente, pero la forma actual de previsión del 60 % de las plazas no garantiza su estabilidad.

En el segundo modelo, la actividad carece de un instrumento jurídico en vigor que regule el funcionamiento, los derechos y las obligaciones de ambas partes, en este caso Administraciones públicas, el Ayuntamiento de León y el Centro de Supercomputación de Castilla y León.

Del examen de la estructura de la red corporativa se concluye que tiene, en general, dada su dimensión, un sistema con una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local. Sin embargo, se observan algunas carencias en lo que se refiere a la ubicación de cierto equipamiento ante contingencias que pudieran afectar a la red.

La conexión inalámbrica, en líneas generales, es adecuada. No obstante, en algunas localizaciones carece de las medidas de seguridad necesarias para gestionar los accesos y su trazabilidad. Además, su diseño no garantiza la independencia entre la red corporativa y la red wifi de la entidad.

El ayuntamiento dispone de una plataforma de teletrabajo teóricamente capaz de proporcionar un nivel suficiente de seguridad, pero su implementación práctica actual contiene aspectos potencialmente peligrosos -inseguros, mejor dicho-.

Entrando ya en las conclusiones relativas a la implantación de los controles básicos de ciberseguridad, se considera que la actividad organizativa de los controles -reitero una vez más- debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado. El Ayuntamiento de León, en 7 de los 8 controles, registra un índice de madurez L1, lo que significa que el proceso existe, pero no se gestiona. El éxito del proceso depende de la competencia y buena voluntad de las personas y es difícil prever la reacción ante una emergencia. Únicamente en el control 7, que revisa las copias de seguridad de datos y sistemas, el ayuntamiento alcanza un índice de madurez L2.

A la vista de los resultados, la situación global de los controles básicos de ciberseguridad presenta un nivel de madurez L une... L1 -perdón-, con un índice de cumplimiento del 47 %, siendo el 80 % el objetivo mínimo deseable.

La última conclusión se refiere a los avances en la aplicación del Real Decreto 311/22, por el que se regula el Esquema Nacional de Seguridad. En este aspecto, el ayuntamiento está trabajando en la adaptación a la nueva regulación, siguiendo el plan de adecuación elaborado, alineado con el perfil de cumplimiento para los ayuntamientos de gran tamaño. En este sentido, se destaca, por parte del Ayuntamiento de León, la creación de un Centro de Operaciones de Seguridad que ya ha sido adjudicado.

Teniendo en cuenta lo expuesto anteriormente, el Consejo de Cuentas realiza 12 recomendaciones:

Con carácter general, el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.

Asimismo, el alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, comenzando por solventar la situación en cuanto a las plazas relevantes, que son las de responsable de seguridad o jefe de Servicio, con el fin de solucionar aquellos aspectos técnicos que precisan mejoras y establecer estrategias adecuadas con una diferenciación de responsabilidades que ahora recaen en la misma persona, es decir, convocar dichas plazas.

En segundo término, dotar de los medios necesarios al Servicio de Recursos para la Información y las Comunicaciones, poniendo especial énfasis en regularizar situaciones temporales de puestos especialmente relevantes para el ayuntamiento.

Y, en tercer lugar, específicamente se debería culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su elaboración conjunta con las relativas a protección de datos personales.

Por otra parte, teniendo en cuenta cada una de las áreas, se recomienda llevar a cabo las siguientes acciones:

En relación con el entorno tecnológico del ayuntamiento, el alcalde debería impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la RPT para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad para asumir las tareas requeridas para la gestión de sus sistemas de información según el modelo mixto adoptado.

Por su parte, el responsable de seguridad debe garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible, con independencia de las personas que formen el Servicio.

Sobre el inventario y control de activos y uso controlado de privilegios administrativos, el alcalde debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte de fabricante, asegurando una dotación presupuestaria adecuada.

En cuanto al proceso continuo de identificación y corrección de vulnerabilidades, el responsable de seguridad debe participar, juntamente con el responsable del sistema, en las decisiones que conllevan el empleo de herramientas automatizadas para la detección de vulnerabilidades.

Por su parte, el alcalde debería impulsar la inclusión en la contratación... en la contratación de los servicios informáticos de cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración, de acuerdo con lo especificado en el Esquema Nacional de Seguridad.

En lo referido a copias de seguridad de datos y sistemas, el responsable de seguridad debe impulsar de forma inmediata las acciones necesarias para que se firme, por parte del Ayuntamiento de León, un instrumento jurídico en el que se detallen las obligaciones de las partes, el régimen aplicable y el procedimiento de actuación en relación con la Fundación Supercomputación de Castilla y León.

Y, finalmente, en lo que concierne al cumplimiento normativo, el Pleno del Ayuntamiento debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una Declaración de Aplicabilidad, de acuerdo con lo especificado en el Esquema Nacional de Seguridad. Por su parte, el alcalde debería de requerir al delegado de Protección de Datos la supervisión del cumplimiento del Reglamento General.

El Pleno del Ayuntamiento, por otra parte, debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el Esquema Nacional de Seguridad y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral. Para ello podría utilizarse como referencia la Guía 831 del Centro Criptológico Nacional.

Finalmente, la Intervención municipal debería realizar la auditoría anual del sistema... del sistema del registro contable de facturas para facilitar su cumplimiento. La Intervención General de la Administración del Estado publicó una guía en tal sentido, que... -marco- que contiene una serie de orientaciones a efectos de su realización. Eso es todo por mi parte. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Abrimos un turno de intervención por parte de los distintos grupos parlamentarios. En primer lugar, tiene la palabra, en representación del Grupo Parlamentario UPL-Soria ¡Ya!, el procurador don José Ramón García Fernández, por un tiempo de diez minutos.

EL SEÑOR GARCÍA FERNÁNDEZ:

Muchas gracias, señor presidente. Muchas gracias al presidente del Consejo de Cuentas por el... los informes aquí presentados, y a todo su equipo por la elaboración de ellos.

Bueno, al final, leyendo los informes, estamos hablando sobre dos ayuntamientos que tienen un número de habitantes importante. Son dos capitales de provincia de esta Comunidad Autónoma. Y, bueno, vemos que uno, efectivamente, pues es... a ver, no lo quiero decir de una manera un poco así... fuerte, pero sí que es verdad que Salamanca se lo toma un poquito más en serio lo que es la... el nivel de... de la protección y el sistema informático o el sistema de seguridad informático en comparación con lo que podríamos decir con el otro ayuntamiento del que estamos hablando, que es el Ayuntamiento de León.

Como vemos en los informes, bueno, pues el índice de cumplimiento global, el aconsejable, según los auditores y la normativa, pues tendría que ser del 80 %, aproximadamente. Vemos que Salamanca está cumpliendo con el 79 %; León con el 47 %. Con lo cual, vemos que... que, bueno, pues Salamanca no deja al albor de la suerte mucha de la información que se supone susceptible de seguridad. Y que... y que, bueno, pues hoy en día sabemos que el... que todo está informatizado, las debilidades de los sistemas informáticos, bueno, pues están al día y los ataques también. Con lo cual, pues es algo fundamental, sobre todo cuando en estos ayuntamientos se maneja información de los ciudadanos bastante delicada y muy completa.

Con lo cual, bueno, pues vemos que hay una falta, por lo que vemos aquí, de... de un diseño, de una inversión y de recursos humanos. Tanto en un ayuntamiento como en otro vemos que los puestos de trabajo, pues en Salamanca son 20, de los cuales están ocupados solamente 15: de ellos, 12 son funcionarios de carrera, 3 son interinos. Con lo cual, podríamos decir que de los 20, 12, bueno, pues están con su plaza; 3 son temporales; vamos a ver lo que puede pasar con ellos. Y en el Ayuntamiento de León, bueno, pues estamos hablando de 14 puestos, de los cuales 8 son funcionarios de carrera y 6 son interinos, con lo que ello implica.

Siempre he dicho que el funcionamiento de la Administración muchas veces funciona gracias a la buena voluntad de los trabajadores, de los funcionarios, y, en este caso, estamos viendo como es así.

Vemos que de los puntos tratados en la... en la auditoría, en el informe, de los 10 puntos, en este caso, de los 9 puntuables, vemos que la mayoría de ellos, en el... en el Ayuntamiento de Salamanca pues tiene el índice de cumplimiento global o de madurez, mejor dicho, el L2; con lo cual, bueno, pues sí que es verdad que existe un mínimo de planificación que proporciona una pauta a seguir cuando se repiten las mismas circunstancias, ¿no?

En cambio, en el Ayuntamiento de León pues vemos que el índice... el índice de madurez es un L1 y se... bueno, pues el proceso existe, pero no se gestiona. Aquí creo que lo dice todo, ¿de acuerdo? Y el éxito o fracaso del proceso depende de la competencia y buena voluntad de las personas. Es decir, lo que he recalcado de que a veces las cosas funcionan gracias a la buena voluntad.

Sí que es verdad que en las... tanto en un informe como en otro, en las recomendaciones, bueno, pues hay varios puntos que afectan al alcalde, que tiene que tomar decisiones sobre el personal en el ayuntamiento, sobre la normativa, sobre la gestión, que espero que la tenga en cuenta, y después otras sobre... sobre el Pleno, ¿no? Es decir, seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del Departamento de Tecnologías de la Información acorde y que permita cumplir el principio de seguridad con responsabilidad diferenciada. Esto, en el Ayuntamiento de Salamanca.

En el Ayuntamiento de León, pues vemos que, al final, las recomendaciones pues, al final, recaen casi todas ellas en el alcalde -como ya he dicho-, en el personal, en la gestión, en la... en las actuaciones. Y después, el Pleno pues debería de aprobar una normativa. Es decir, que aquí estamos hablando ya de falta de normativa que garantice el registro de la actividad de los usuarios, de acuerdo con lo establecido con el Artículo 23 del Esquema Nacional de Seguridad.

Y bueno, en definitiva, creo que los ayuntamientos hacen lo que buenamente pueden -unos más que otros, evidentemente-, y, efectivamente, el personal es fundamental. El Departamento de Seguridad de la... de Tecnologías de la... de la Información es fundamental. Con lo cual, esperemos que tomen en serio las recomendaciones que les han dado y que las ejecuten lo antes posible. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Muchas gracias. Tiene la palabra, en representación del Grupo Parlamentario Vox Castilla y León, el procurador don Javier Bernardo Teira Lafuente.

EL SEÑOR TEIRA LAFUENTE:

Muchas gracias, señor presidente. Buenas tardes, señorías. Como siempre, agradecer al presidente del Consejo de Cuentas, al señor Amilivia, y a su equipo, por el trabajo realizado, por la exhaustividad y la calidad de los informes que aportan.

Nos encontramos -como en otras ocasiones aquí- ante unas auditorías operativas cuyo objeto es verificar el funcionamiento, en este caso de los controles de ciberseguridad, de su diseño, de su eficacia, pero también el cumplimiento de la normativa. Y, a renglón seguido, como objetivo específico, proporcionar a los entes auditados la información relevante para poder seguir mejorando, que es, en definitiva, aquí el objetivo más... más interesante y fructífero y a lo que se dirige el esfuerzo.

En ambos casos, en los informes se refiere tanto la colaboración como la buena disposición tanto de las corporaciones, de los alcaldes, como del personal encargado en la gestión de los datos y la ciberseguridad. Pues ahora de lo que se trata es, ¿verdad?, de que se pongan manos a la obra y apliquen las recomendaciones del informe.

En el caso de Salamanca... A continuación, voy a proceder, primero, en relación con el informe de Salamanca; después, el informe de León. En ambos casos, primero, una valoración general; después, una referencia a las conclusiones que nos han parecido más relevante... más relevantes; y, por último, un repaso de algunas recomendaciones que también nos han... hemos considerado pertinente subrayar; recomendaciones que, por los demás, ya han sido puestas de relieve, tanto por el señor Amilivia como el procurador que me ha precedido, el señor García, en el uso de la palabra.

Como digo, en el caso de Salamanca es importante destacar que el ayuntamiento ha obtenido una calificación del 79 %, un nivel de madurez media en el índice de cumplimiento global, lo cual es una buena señal, como se ha subrayado, de que se están tomando las medidas adecuadas.

Las recomendaciones realizadas son relevantes y están orientadas a que el ayuntamiento fortalezca su seguridad informática; en particular, la planificación a largo plazo de las necesidades de renovación tecnológica, la inclusión de cláusulas de control en la contratación de servicios informáticos y -muy importante- potenciar el liderazgo del Pleno del Ayuntamiento en la implementación de políticas de seguridad para mejorar, de este modo, la ciberseguridad. En resumen, el informe proporciona una visión clara de la situación actual y ofrece recomendaciones concretas útiles.

En relación con las conclusiones, queremos destacar la Conclusión 36 y la Conclusión 40, relacionadas con las copias de seguridad de datos y de sistemas: la Conclusión 36, referida al registro de actividad de los usuarios, concluye que en el área de registro se alcanza un índice de madurez L3; y la Conclusión 40, en relación con las pruebas realizadas sobre las copias de seguridad, se puede concluir -dice- que el proceso de gestión de inventario y control de dispositivos físicos alcanza un índice de madurez L2. Es un nivel en el que todavía las necesidades de mejoras son más importantes.

En relación con las recomendaciones, pues nos parece importante subrayar la necesidad de establecer una estrategia a largo plazo en esas 4 o 5 áreas de las... a las que ya se han referido: la política de seguridad, los recursos materiales y humanos, las auditorías y las autoevaluaciones.

La recomendación también que tiene que ver con la necesidad de planificar las necesidades -valga la redundancia- de renovación de hardware y software. Muy importante es también la necesidad de incluir esas cláusulas contractuales que permitan controlar los servicios que se contratan. Y, como ya he dicho, la importancia de que el ayuntamiento siga liderando las actuaciones en política de seguridad con arreglo a los principios de seguridad y de responsabilidad diferenciada.

Paso ahora al informe sobre el Ayuntamiento de León. En este caso, también el informe cumple con el objetivo de verificar el funcionamiento de los controles y de identificar las áreas de mejora. Pone adecuadamente de relieve la importancia de la Administración electrónica y la necesidad de contar con un sistema de seguridad adecuado y eficiente que evite los rasgos. Presta una especial atención a la evolución de los controles, según el modelo de madurez; y aquí pues encontramos, como ya se ha subrayado, que el índice de cumplimiento es del 47 %, lo cual indica la necesidad de ponerse imperiosamente manos a la obra para mejorar, para mejorar el desempeño.

En relación con las conclusiones, el primer... la primera consideración es que, revisados los controles básicos de ciberseguridad -como ya he dicho-, el nivel de madurez es un nivel L1 y es necesario imperiosamente mejorarlo. A continuación, una primera observación es la que indica que solo se dispone de un SIEM -de un sistema de gestión de información de eventos de seguridad- para niveles de seguridad alta. No existe un SIEM permanente y menos un SOC. Ambas cosas son... son necesarias.

En segundo lugar, en relación con las copias de seguridad, también, en el punto 44, se pone de relieve la necesidad de mejorar este aspecto.

En tercer lugar, en relación con el punto 26, nos ha llamado la atención de que no existe una política de alertas ante posibles incidencias de seguridad, de tal manera que es difícil que, si no se... hay un sistema de alertas específico, pues las personas al cargo de los sistemas puedan identificar en tales volúmenes de datos las incidencias; con lo cual, es necesario este sistema.

En cuarto lugar, no existe una documentación de los procesos críticos -el punto 27-; no existe tampoco un control de usuarios, administradores, control de contraseñas.

En relación con la gestión de las contraseñas, solo se controlan las claves fuertes; no se han definido políticas homogéneas para los sistemas de autenticación ni para el uso de las cuentas de Administración; y se realizan informes diarios de directorio activo, pero no los revisa nadie. En cualquier caso, nos encontramos en esa situación -que se ha referido en varias ocasiones- de que estamos expuestos a la suerte.

En sexto lugar, en relación con el punto 36, resulta que el bastionado, es decir, la implantación de técnicas de seguridad, se refiere o da valores muy bajos y, por tanto, una configuración insegura. Y no existe un sistema de alerta temprana de internet para la detección en tiempo real de amenazas.

El punto 49 hace referencia a la necesidad del desarrollo de las medidas del Ente Nacional de Seguridad, según el Artículo 27. Tampoco cumple con los Artículos 34 y 41.

Y el punto 51 nos dice que no cumple con el Artículo 12 de la Ley 25/2013, de veintisiete de diciembre, relativa a la factura electrónica y a la creación de un registro contable.

En resumen, hay una multitud de aspectos delicados y relevantes sobre la que es... sobre las que... los que es necesario trabajar. Habría que subrayar también que no existe una legislación sobre la cloud privada, sobre la nube privada; que es... es aconsejable, no solo en el de León, sino en todos los ayuntamientos, que se incorpore un SIEM o un SOC; que es necesario que se identifiquen y documenten todos los procesos críticos; que se lleven a cabo informes internos de seguridad sobre la actualización de las copias de seguridad, los tipos, el número de copias y su ubicación; y es necesario también mejorar la legislación o normalización de dispositivos móviles y, sobre todo, de todo tipo de conexiones no cableadas, donde se encuentran principalmente todos los problemas o los agujeros de seguridad.

En relación con las recomendaciones, que tienen que ver naturalmente con los aspectos señalados, desde el punto de vista de las de carácter general, son importantes las que tienen que ver con los... no solo con las deficiencias técnicas -que, de alguna manera, pues pueden ser comprensibles-, pero sobre todo son importantes las que tienen que ver con los incumplimientos normativos.

Es necesario también subrayar la necesidad de solventar todos esos problemas de provisión de plazas relevantes -como las de responsable de seguridad y jefe de Servicio-, entre otras cosas porque, si tiene que haber personas que se hagan cargo de esta revisión específica de las alertas que van saltando en los sistemas, pues estas personas tienen que ocupar cargos en el organigrama y tienen que estar capacitadas para llevar a cabo su función. Y, por tanto, también hay que llamar la atención sobre la necesidad de regularizar todas... todas esas situaciones temporales a las que hemos hecho referencia.

En relación con las áreas específicas, pues el inventario, la identificación y corrección de vulnerabilidades, las copias de seguridad de datos y sistemas y -ya he dicho- el cumplimiento normativo.

En todo caso, y como una nota de humor, pues sería conveniente que el Ayuntamiento socialista de León aprovechase la situación de tener INCIBE in situ y copiase las buenas prácticas. Y es todo, señorías. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

En representación del Grupo Parlamentario Socialista, tiene la palabra el procurador don Javier Campos de la Fuente, durante... en un plazo... con diez minutos de tiempo.

EL SEÑOR CAMPOS DE LA FUENTE:

Gracias, presidente. Buenas tardes a todos y a todas. Bienvenido, señor Amilivia, y su equipo habitual que nos suele acompañar en estas sesiones.

Pues quiero empezar dándole la razón en lo primero que ha dicho. Es cierto que la tramitación de una ley, por muy importante que sea, como en este caso es la Ley de Presupuestos, no puede paralizar la actividad normal de unas Cortes como las de Castilla y León y... e impedir, de alguna manera, el control de la actividad del Ejecutivo. Entonces, en este aspecto, pues apoyamos totalmente esta... esta apreciación que usted tiene sobre la situación de la Comisión y por supuesto que la apoyamos.

Ya directamente en lo que se refiere a la... al punto del orden del día en cuestión, pues, evidentemente, ya se ha dicho básicamente: el presidente ha descrito a la perfección cuáles son los estados en los que se encuentra tanto el Ayuntamiento de León como el de Salamanca en el... en la materia que tratamos, en el informe de seguridad de internet que tienen estos dos... estas dos capitales de provincia. Evaluamos los controles básicos, esos 10 controles básicos en ciberseguridad, y, según los resultados, el ente fiscalizador propone mejoras, que al final no es otra cosa que facilitar la vida del ciudadano, mejorar la vida del ciudadano y hacer más segura ese tipo de Administración o este tipo de gestiones que tiene... que tenemos que hacer entre las Administraciones y la ciudadanía.

En otros análisis similares que se han realizado ya aquí, eso sí, de entidades más pequeñas, sí es verdad que ya se ha hablado de multitud de parámetros, multitud de variables, multitud de circunstancias, que ponen en valor la seguridad en el ámbito de la informática, la seguridad en el ámbito de la ciberseguridad dentro de las instituciones y la necesidad de la protección de datos y la evaluación y el tratamiento de los mismos.

Hablamos de procesos, como bien dijo el señor Amilivia, procesos importantes dentro de una Administración, como puede ser el hacer la recaudación, llevar el padrón, llevar el tema de los presupuestos, la gestión contable... Es decir, son operaciones que son muy importantes; pero también hay otras operaciones, hay otras... otros trámites que la Administración hace y son... no están centralizados en un punto en concreto. Porque podríamos pensar, a la vista de este informe, que lo que estamos tratando es de ver cómo en la casa grande, ¿verdad?, en la casa... en la Casa Consistorial, cómo se tratan estos valores. Pero no es así.

Hay que tener en cuenta que un ayuntamiento tiene distribuidos a lo largo de su geografía multitud de servicios, los cuales se tienen que comunicar con los servidores y se tienen que comunicar entre ellos. Y en la mayor parte de los casos estamos viendo, que, incluso a muy poquitos kilómetros de distancia, del centro, no tenemos una cobertura de internet adecuada, por ejemplo, lo cual dificulta seriamente que todos estos... todos estos... todas estas variables que estamos contemplando pues se puedan dar con... con seguridad y se puedan dar con... con una cierta efectividad, eficacia.

Entonces, lo primero que podemos indicar aquí es que sería importantísimo que toda nuestra Comunidad Autónoma, todas nuestras provincias, y ahí se incluye tanto... tanto las diputaciones provinciales como los ayuntamientos grandes, como la Junta de Castilla y León, pues puedan dar el mejor de los servicios de internet para que haya esa... bueno, pues fluya ese... esos datos y fluyan con seguridad, que es de lo que... de lo que se trata. Entonces, nuestra primera apreciación podría ir en esa línea, en la línea de tener una red en condiciones, que se pueda utilizar en condiciones de seguridad.

Estamos hablando de ayuntamientos grandes, efectivamente, y qué feas son las comparaciones a veces, ¿verdad, señor Amilivia?, aunque sea... aunque sean las de casa, que puedan doler más. Pero yo no creo que sea en este caso ni en ningún otro de los que trae siempre la... el Consejo de Cuentas, no creo que sea el ánimo de comparar, ni mucho menos. Simplemente se traen aquí determinados datos, determinados valores, que se analizan. Tenemos estos... estos 10 controles que, según normativa europea, nacional y autonómica, según la legislación, pues se evalúan, y, bueno, pues se proponen... se hacen... se ven unas conclusiones y se hacen unas propuestas de mejora.

Sí es verdad que, por ejemplo, bueno, pues es difícil, sería difícil de encajar que tanto el Ayuntamiento de Salamanca como el de León pues no fueran colaboradores, ¿verdad?, no... no tengan esa disposición de colaborar, sería difícil. De hecho, pues, bueno, son ayuntamientos que en este caso pues destacan incluso la precisión, rigor y profesionalidad -ha dicho el presidente- del ente fiscalizador, lo cual es pues un reconocimiento importante.

La sorpresa, y lo digo... bueno, somos procuradores, es verdad que en multitud de ocasiones tenemos que hablar de un montón de cosas que no controlamos, no conocemos en profundidad -esta es una de ellas; en concreto, por ejemplo, se escapa a mi ámbito-, pero sí que es nuestra obligación ponernos al día y estudiar la información que se nos ofrece para... para poder emitir aquí un... un determinado juicio.

Para mí sí que ha sido una sorpresa quizás la benevolencia del sistema al... al otorgar, bueno, pues un funcionamiento -se entiende- medianamente adecuado en puntuaciones que tienen pues la L1 y la L2 como grado de madurez, que no llega ni siquiera al mínimo exigido, con un 80 %. Y esto es la... y esta es la... el municipio bueno, el municipio que tiene los mejores resultados. Es decir, estamos hablando de dos parámetros que dependen de la buena suerte y de la buena voluntad de las personas que están al cargo del Servicio. Entonces, por un lado, ese matiz, ¿no?, ese matiz de que, bueno, evidentemente, mejor estar en L2 o en L3 que en L1. En L1 está prácticamente todos los... los parámetros, todos los controles del Ayuntamiento de León, excepto en el control 7. Se habla de incumplimientos de normativa y de incumplimientos de reglamentos. Evidentemente, eso no... no se puede... bueno, no se puede aceptar. Hay que... hay que mejorar y hay que proponer iniciativas de mejora.

Sí que es cierto que, en los dos casos, en ambos casos, lo que se está apreciando pues es una necesidad de mejora en la planificación de la estructura de estos... de estos servicios de protección de ciberseguridad, mejoras en el ajuste de personal, mejoras en las contrataciones. De alguna manera, tener la RPT controlada en ese ámbito y tener a las personas en un funcionariado o con una estabilidad que garantice el servicio, un funcionamiento de los servicios adecuados.

También hablamos de mejoras de equipos, es decir, no solo en lo personal, sino simplemente pues en la mejora del material, ¿no?, con el que se trabaja y de las... de los programas con los que se trabaja, de los software, del hardware. Bueno, pues una mejora en estos ámbitos que es, evidentemente, totalmente exigible. Personalmente, todos -más pronto que tarde- tenemos que mejorar, tenemos que reciclar nuestros... nuestro aparataje; pues, una Administración que maneja -y de qué manera- datos de 143.000 personas, por ejemplo, pues, evidentemente, tienen que realizar una... una inversión importante y constante.

No es cuestión de... no es cuestión de una... de apelar al alcalde. Yo ya he visto en el informe que la figura del alcalde es una... bueno, una forma de mandar o de mandatar al máximo representante de los concejales, en este caso, evidentemente, para que haga estas funciones que aparecen en las mejoras. Pero es evidente que es una cuestión de todo el... de todo el ayuntamiento y de todo el... de todo el equipo de Gobierno.

Poco más que decir, poco más que decir. Que esta vida de hoy sin informática no es nada y que tenemos que mejorar en estos ámbitos, sin ninguna duda. Y, bueno, pues felicitar al ente fiscalizador por el trabajo realizado y la excelencia con la que lo ha presentado en esta Comisión. Nada más. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Tiene la palabra, en representación del Grupo Parlamentario Popular, el procurador don Emilio José Berzosa Peña.

EL SEÑOR BERZOSA PEÑA:

Muchas gracias, señor presidente. Señorías. Agradecer especialmente al señor Amilivia, presidente del Consejo de Cuentas, y a todo su equipo por estar hoy aquí presente para avanzar en estos informes, que, como sabe, cuenta con toda la disposición del Grupo Parlamentario Popular para avanzar en ellos.

Hoy vamos a analizar, como bien se ha dicho, los informes de seguridad informática tanto del Ayuntamiento de León como el de Salamanca. Y cabe indicar que los dos ayuntamientos presentaron alegaciones y fueron correctamente contestadas por el propio Tribunal de Cuentas. Aunque, como vemos, cabe destacar que el Ayuntamiento de Salamanca -y ya se ha dicho aquí- está mucho más avanzado en esta materia que el Ayuntamiento de León, al cual le queda todavía mucho por hacer para llegar al objetivo del 80 % del cumplimiento que se marcaba para esta fiscalización. Como todos sabemos, en esta materia hay legislación muy clara -y el representante del Partido Socialista también lo ha dicho-, clara y extensa al respecto, tanto europea como estatal y, por supuesto, autonómica.

Estos informes tienen un objetivo claro, que es evaluar y verificar el funcionamiento de los controles básicos de ciberseguridad implantados y facilitar a la entidad información relevante sobre el grado de ciberseguridad para implementar las mejoras que sean oportunas, defendiendo siempre, por parte de este grupo parlamentario -como lo hemos hecho cada vez que hemos hablado de este tema-, su autonomía municipal, claramente garantizada, y la independencia en la capacidad de toma de decisiones.

Los ayuntamientos han sufrido una transformación digital muy importante y, sobre todo, en los cuatro últimos años, donde se han acelerado estos procesos también por la llegada en el año dos mil veinte del COVID-19; pero, además, también por la obligación de relacionarse con la Administración, sobre todo en el caso de las empresas, de manera electrónica, algo que hay que llevar a cabo cumpliendo unos requisitos mínimos de seguridad en sus sistemas y que, además, para que sean fiables, habrá que realizar una serie de controles eficientes de ciberseguridad, y, sobre todo, de manera periódica, puesto que todos los datos que se tratan deben de ser, como es lógico, confidenciales, y muchos son de gran relevancia y, sobre todo, deben de estar protegidos de posibles ataques informáticos.

En los informes realizados vemos una serie de deficiencias subsanables, que, como podremos comprobar, algunas coinciden en los dos ayuntamientos auditados; incluso se han hablado aquí ya de ellas.

Mientras que el Ayuntamiento de León, la Concejalía del área no realiza acciones necesarias para una correcta política de seguridad informática, vemos que, en el caso del Ayuntamiento de Salamanca, se realiza una correcta política de seguridad informática, aunque con algunas carencias existentes.

En relación a las RPT -que ya se ha hablado aquí-, en este caso, de los dos ayuntamientos, en tecnologías de la información, en León cuenta con 23 plazas, de las que solo están cubiertas 14; de ellas, 6 de manera interina, lo que genera poca estabilidad en esta materia. Mientras que el Ayuntamiento de Salamanca, su RPT cuenta con 20 puestos, estando cubiertos 12 con funcionarios de carrera y 3 con interinos; pero, además, es que están realizándose en el momento de la fiscalización varios procesos para cubrir las vacantes.

En el caso de León, muchas funciones se acumulan en una sola persona y la plaza de jefe del Servicio no está cubierta. Tampoco tiene documentación detallada de sus sistemas y procesos de gestión. Tampoco han realizado una identificación y categorización adecuada de los sistemas de información, mientras que Salamanca sí que tiene un inventario razonable.

Los dos tienen un sistema adecuado de protección perimetral y de su red corporativa. Tanto el Ayuntamiento de León como el Ayuntamiento de Salamanca han elegido el mismo modelo, que es el de on-premise, con equipos controlados por los propios ayuntamientos.

El Ayuntamiento de León no cuenta con un procedimiento de gestión de software ni existe un plan de mantenimiento de activos de software, siendo a criterio de un técnico personal; mientras que el Ayuntamiento de Salamanca tiene contratado un servicio del Centro de Operaciones de Ciberseguridad para el control de vulnerabilidades y gestión de actividades realizadas por usuarios y administradores.

En el caso del Ayuntamiento de León no se utilizan identificadores diferentes para acceder como usuario o administrador, mientras que en Salamanca se realiza un proceso de... de configuración segura y ha implantado medidas para dificultar a los usuarios que puedan cambiar la configuración de sus equipos.

En León no se realizan procesos de configuración segura de sus sistemas y el ayuntamiento no cumple con las especificaciones concretas del Artículo 34 y 41 del Esquema Nacional de Seguridad, objetivo, precisamente, de la fiscalización que se ha realizado. En el caso de Salamanca, el proceso de adaptación a la normativa en protección de datos está avanzado, creando un órgano propio para la protección de datos, y ha realizado un análisis de riesgos y hace auditorías anuales del registro contable de facturas.

La verdad es que sorprende, señor Amilivia, ver la diferencia de dos ciudades similares en relación a una correcta gestión en esta materia. Quizás sea circunstancial la de un ayuntamiento gobernado por el Partido Popular, como es Salamanca, o otro gobernado por el Partido Socialista, como es León.

Y es que los resultados de la auditoría en cuanto a su cumplimiento global sobre un objetivo del 80 % es muy esclarecedor. Mientras Salamanca tiene un 79 % de este objetivo, el Ayuntamiento de León apenas llega al 47 %, muy lejos del objetivo marcado.

Por lo tanto, pedir a Salamanca que siga trabajando en la línea marcada en esta materia para poder ir llegando a los objetivos marcados; y al Ayuntamiento de León que avance y se ponga al nivel de otros ayuntamientos de su categoría en esta materia tan importante como es la ciberseguridad.

Desde el Grupo Parlamentario Popular nos parecen correctas las recomendaciones realizadas por el Consejo de Cuentas e indicadas en sus propios informes. Y en el caso de León son 12 y en el de Salamanca, 5. No las vamos a explicar aquí porque ya se ha... ya se ha referido algún otro procurador a ellas, pero, bueno, la verdad es que queda mucho trabajo por hacer. Es algo que ha venido para quedarse, la relación con la Administración ya es electrónica y cada vez va a ir a más.

Desde el Grupo Parlamentario Popular queremos agradecer el trabajo que se ha realizado, que, sin duda, es y será para mejorar la gestión de la ciberseguridad y las tecnologías de la información en los ayuntamientos. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Gracias. Tiene la palabra, para contestar a las distintas intervenciones, el presidente del Consejo de Cuentas.

EL PRESIDENTE DEL CONSEJO DE CUENTAS DE CASTILLA Y LEÓN (SEÑOR AMILIVIA GONZÁLEZ):

Muchas gracias, presidente. En primer lugar, me gustaría volver a manifestar que el objetivo de estos informes es detectar carencias en materia de ciberseguridad y, en función de ellas, una vez detectadas, establecer una serie de recomendaciones para mejorar la ciberseguridad en los distintos ayuntamientos. En este caso, llevamos seis capitales de provincia. No es, en ningún caso, hacer rankings ni hacer comparaciones entre distintas capitales, porque si tuviéramos... si eso fuera válido, tendría en este momento que presentar las seis capitales conjuntamente y establecer un ranking entre las seis capitales auditadas y las tres pendientes de auditar. No es ese el caso. El objetivo de este informe -como he venido a reiterar- es detectar esas carencias y estimular, mediante recomendaciones, la mejora de la ciberseguridad en los ayuntamientos.

Desde este punto de vista, por eso se publican estos informes con plazos diferenciados o diferentes al resto de los informes; no se publican completamente y se da un plazo suficiente a los ayuntamientos para que mejoren su ciberseguridad. En la medida en el que -como a nadie se le escapa-, si hubiera una mayor potencialidad desde el punto de vista de los ataques, de los ciberataques, deberíamos ser aún más prudentes en nuestras reflexiones y en nuestros comentarios públicos en una materia tan sensible y tan delicada como es la mencionada. Por lo tanto, como estoy diciendo, no se trata de hacer o de comparar en ningún caso ni de establecer ranking entre distintos ayuntamientos.

Tienen un triple objetivo -lo he dicho muchas veces-: de mejora, de disuasión, de disuasión de presuntos ciberataques, que saben que esos ayuntamientos están tomando en este momento medidas; de disuasión porque sirven de espejo también para otros ayuntamientos; y, fundamentalmente, de mejora.

¿Por qué el informe se refiere al alcalde? En este caso, porque, de acuerdo con la estructura municipal, es el competente en este supuesto. Con carácter general, es cierto que se debería señalar el ayuntamiento, sin perjuicio de quién tuviera atribuidas esas competencias: alcalde, Junta de Gobierno o, en su caso, o, en su caso, Pleno.

Como he tenido ocasión de señalarles en distintas ocasiones, bueno, las guía... la Guía OCEX 5313 es la que establece estos niveles de madurez: es un criterio objetivo con estas clasificaciones de L1... de L0 a L5 y con ese nivel mínimo del 80 %. Es decir, no son cuestiones caprichosas, sino que responden a guías elaboradas por comités de carácter técnico.

¿Cómo están estos ayuntamientos de Castilla y León que hemos fiscalizado hasta la fecha? ¿Los siete de más de 10.000 habitantes y las seis capitales de provincia? ¡Hombre!, pues, potencialmente, podríamos decir que no tienen medios adecuados o suficientes o idóneos para abordar presuntas amenazas, y de ahí la utilidad de estos informes que son... que son pioneros.

Destacar una vez más también que el objetivo de estos informes no son los funcionarios, los medios humanos y materiales, son fundamentalmente los responsables políticos, que son los que tienen que tomar medidas en este sentido.

Y como he hecho en otras ocasiones, me gustaría actualizar un poquito, en la medida que ya son datos públicos o conocidos por el Consejo de Cuentas, el cumplimiento de las recomendaciones. Como tenía ocasión de manifestar en mi última comparecencia en relación con el Ayuntamiento de Valladolid, en estos informes se da la circunstancia de que, al tiempo que elaboramos el informe y de que al tiempo que presentamos nuestras recomendaciones, los ayuntamientos, coetáneamente, van adoptando medidas, adoptando medidas inmediatamente, lo cual demuestra la gran autoridad.

En relación con el Ayuntamiento de Salamanca, la única actualización que conocemos en este momento nosotros es la cobertura de 5 plazas: 3 de auxiliares y 2 de analistas programadores, es decir, que habría cumplido con las... con la Conclusión 3 totalmente. En su relación de puestos de trabajo, el ayuntamiento disponía de una dotación de 20 puestos -como acabo de mencionar- relacionada con las tecnologías de la información, estando cubiertas 12 de estos puestos por funcionarios de carrera, que se complementaban con otros 3 funcionarios interinos. El ayuntamiento -repito- está realizando un proceso de esas plazas pendientes.

El Ayuntamiento de León ya había adjudicado el contrato que he mencionado en el informe... que hice mención en el informe. Adjudicó el pasado veintitrés de febrero el contrato de suministro de infraestructura MAN segura, financiado por Fondos Next Generation, con un presupuesto de 600.000 euros. Y ha convocado públicamente -como lo hemos señalado en las recomendaciones- el puesto de jefe de Servicio de Informática y también el responsable de seguridad.

Y conocemos también, si bien es una decisión que se ha conocido pero que todavía no se ha ejecutado, pero sí es la voluntad del equipo de Gobierno del Ayuntamiento de León, con cargo a remanentes de Tesorería del último Presupuesto, licitar mejoras informáticas por un presupuesto de 2.665.000 euros, estableciendo un nuevo centro de procesación de datos, copia redundante, también actuaciones en relación con el Esquema Nacional de... de Seguridad y otras aplicaciones. Es decir, la finalidad de estos informes es intentar que mejore la situación de ciberseguridad.

Y, sin duda -lo he puesto de manifiesto en todos los informes-, inmediatamente después de aprobado el informe de la ciudad correspondiente, se acometen obras de mejora de la red informática y obras de mejora en materia de ciberseguridad, por lo que entendemos, sin duda, que el objetivo de estos informes está sobradamente cumplido y tiene una finalidad adecuada por parte del Consejo de Cuentas. Por mi parte, nada más. Y muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Gracias. Abrimos un turno de réplicas. Por el Grupo Parlamentario UPL-Soria ¡Ya!, tiene la palabra, por el procurador don José Ramón García Fernández, por un tiempo de cinco minutos.

EL SEÑOR GARCÍA FERNÁNDEZ:

Muchas gracias, señor presidente. Nada más reiterar las gracias por el informe realizado por el Consejo de Cuentas. Y sí que estoy de acuerdo con usted, señor Amilivia, en cuanto aquí no se viene a comparar ayuntamientos, simplemente se vienen a ver las... o a intentar subsanar las debilidades y analizarlas, y sobre todo las bondades.

Efectivamente, son todo decisiones políticas, no es cuestión de funcionarios; pero sí que es verdad que lo que he dicho, y vuelvo a remarcar, que muchas veces las Administraciones funcionan por la buena voluntad de los... de los funcionarios. Con lo cual, visto todos los informes y analizados, llegamos a esa misma conclusión: falta de recursos tanto materiales como humanos.

Y creo que esto se debería tener... o contar... o tener más... que sea más serio, un tema serio, porque estamos hablando de mucha información de los ciudadanos e información delicada. Con lo cual, espero que tomen las recomendaciones en serio y que cumplan con ellas. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Por el Grupo Parlamentario Vox Castilla y León, tiene la palabra el procurador Javier Bernardo Teira Lafuente.

EL SEÑOR TEIRA LAFUENTE:

Simplemente para volver a darles las gracias por su trabajo. Y puesto que se ha suscitado esta -entre comillas- polémicas León y Salamanca, pues decir que, desde nuestro punto de vista, la competencia es buena, porque estimula la mejora. Entonces, es bueno que unas capitales y otras de provincia terminen mirándose por encima del hombro unas a otras, independientemente de la situación, porque seguramente que esto sirve de acicate para... para poner mecanismos de mejora. Nada más. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Por el Grupo Parlamentario Socialista, tiene la palabra el procurador don Javier Campos de la Fuente, por un tiempo de cinco minutos.

EL SEÑOR CAMPOS DE LA FUENTE:

Gracias, presidente. Efectivamente, la competencia es buena, pero es ridículo pensar que los resultados de un municipio u otro tengan que ver con el signo político que ostenta el poder en ese... en ese municipio. Es absolutamente ridículo, si no... bueno, me voy a quedar en ese calificativo, porque, probablemente, en la misma provincia, por ejemplo en Salamanca, haya municipios que tengan mucho peor resultados en este tipo de controles que el municipio de León, que la capital de León -León-. Entonces, vamos, ignorar eso o manifestarse según esa línea argumental creo que está fuera de lugar, y como decía mi compañera doña Laura, pues es de primero de Cortes. Se lo ha explicado perfectamente el presidente de... el presidente del Consejo, que no es una cuestión de ranking ni quién gobierna el municipio.

Yo, simplemente decir que me parece muy bien que estas iniciativas, en este caso del Consejo de Cuentas, sean bien valoradas por los municipios, que los municipios reconozcan su autoridad y que los municipios tengan la capacidad de reconocer esos fallos y de... y de mirar hacia adelante y de proponer mejoras que, al instante, como bien dice el presidente, pues se puedan ir ejecutando y puedan ir mejorando los servicios y los sistemas. Nada más. Y muchas gracias. Y saludar simplemente al resto del equipo.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Tiene la palabra, en representación del Grupo Parlamentario Popular, el procurador don Emilio José Berzosa Peña.

EL SEÑOR BERZOSA PEÑA:

Muchas gracias, señor presidente. Y, bueno, pues, simplemente, ahondar en... -lo ha dicho el señor Amilivia-: al final, en este tipo de actuaciones, son decisiones políticas y, sobre todo, en cuanto a llevar unas actuaciones en materia de seguridad informática a largo plazo para el buen objetivo del propio ayuntamiento.

Nada más. Simplemente yo, por nuestra parte, del Grupo Parlamentario Popular, agradecer el trabajo del Consejo de Cuentas, del señor presidente, el señor Amilivia, y todo su equipo. La verdad es que es un trabajo extenso y complicado en el que también ha quedado palpable la profesionalidad de los agentes que han participado en los informes, no solo del ayuntamiento, sino que también del propio Consejo de Cuentas, defendiendo siempre, como he dicho anteriormente, la autonomía municipal, claramente garantizada, y su independencia en la capacidad de toma de decisiones.

Habrá que ayudar a los ayuntamientos, a todos, a que se pongan en el nivel de protección correcto, en este caso ya para el año... finales veinticuatro o veinticinco, porque, además, estamos en la línea de mejorar todos los sistemas informáticos y la red en Castilla y León.

Recordar que, para el año dos mil veinticinco, cumpliendo los compromisos del Gobierno de Castilla y León, esta Comunidad tendrá una conexión limpia de 100 megas, ya sea en el medio urbano o en el medio rural. Muchas gracias.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Guarden silencio, por favor. Para finalizar, tiene de nuevo la palabra el presidente del Consejo de Cuentas.

EL PRESIDENTE DEL CONSEJO DE CUENTAS DE CASTILLA Y LEÓN (SEÑOR AMILIVIA GONZÁLEZ):

Simplemente para agradecerles a todos sus intervenciones y las reflexiones que han hecho en relación con estos dos informes. Felicitar, en este caso, al Departamento Local, dirigido por Emilio Melero, y reconocer expresamente el trabajo de los técnicos Fernando Herrero -aquí presente-, autor del informe de León, y Marisol González, del de Salamanca.

Señalar que, en este ámbito concreto de la ciberseguridad, este año abordaremos dos en relación con la Comunidad Autónoma; siete informes de seguimiento de recomendaciones de los primeros ayuntamientos que fiscalizamos -los ayuntamientos intermedios, aquellos que tenían en torno a 10.000 habitantes-, y que, desde luego, tenían un... un amplísimo margen de mejora, nada que comparar o nada que ver con lo que hoy hemos visto aquí; y, finalmente, las tres capitales de provincia.

Como es natural, cuanto mayor estructura tiene un ayuntamiento, más capacidad tiene de tener seguridad informática; y también, por qué no decirlo, más ataques recibe. Es decir, es todo exponencial; exponencial los ataques y también la estructura permite tener mayor ciberseguridad. Y no olvidemos que los ciberataques evolucionan año tras año, ¿eh?, tanto en nuestras vidas privadas como en las vidas de las Administraciones públicas.

Y una reflexión final que me traslada el consejero del Departamento, y que yo creo que... que en su día vamos a instrumentar, si puede ser jurídicamente de alguna manera, pero que, en todo caso, podría ser la primera recomendación de todos los informes de carácter local, y es que este debate se repita en los ayuntamientos objeto de la fiscalización. Que parece natural que... -porque esto no tenemos constancia de que ocurra siempre- que los... que los informes de carácter local se reproduzca el debate en el Pleno correspondiente de dicho ayuntamiento, donde, por otra parte, es el órgano competente para poder solventar, para poder resolver, para poder atender, en este caso, los... los requerimientos del informe.

Yo recuerdo que, en su día, el Tribunal de Cuentas, en la normativa que tenía -ya no interviene hace 20 años, como saben ustedes, en el ámbito de Castilla y León-, mandaba el informe provisional al Pleno del ayuntamiento -que es el que hacía alegaciones- antes de la aprobación definitiva -en este caso por el Tribunal de Cuentas-, que ya no se tenía... no se tenía preceptivamente que reiterar ese debate en el Plenario municipal.

Pero esa recomendación yo creo que es una recomendación inteligente, que mejorará la transparencia y también, por qué no decirlo, la gestión de los ayuntamientos, y que vamos a ver cómo lo podemos instrumentar, sin perjuicio de que podría ser siempre la primera recomendación que hiciéramos a cada uno de los entes fiscalizados con carácter local. Muchísimas gracias. Y muy buenas tardes a todos.

EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):

Finalizado el debate, de conformidad con lo establecido en la Norma IV de la Resolución de la Presidencia de las Cortes de Castilla y León, de siete de abril de dos mil nueve, se abre un plazo de cinco días para que los grupos parlamentarios puedan presentar ante la Mesa de la Comisión propuestas de resolución relativas a los informes de fiscalización que acaban de ser examinados. Dicho plazo finalizará, de conformidad con lo previsto en el Artículo 94 del Reglamento de la Cámara, el dieciocho de marzo del dos mil veinticuatro a las catorce horas.

Concluido el debate, agradeciendo al presidente del Consejo de Cuentas, don Mario Amilivia, y a todos los miembros que le acompañan, y esperando que pronto vuelvan de nuevo -pronto-, se levanta la sesión.

[Se levanta la sesión a las dieciocho horas veinte minutos].