DS(C) nº 357/11 del 6/5/2024
1. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León.
2. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León.
** Se inicia la sesión a las diecisiete horas cinco minutos.
** El presidente, Sr. Castro Cañibano, abre la sesión.
** Intervención de la procuradora Sra. Pelegrina Cortijo (Grupo Socialista) para comunicar sustituciones.
** Intervención del procurador Sr. Berzosa Peña (Grupo Popular) para comunicar sustituciones.
** El presidente, Sr. Castro Cañibano, comunica que, por acuerdo de los grupos parlamentarios, se debatirán conjuntamente el primer y segundo puntos del orden del día.
** Puntos primero y segundo del orden del día. Propuestas de Fiscalización Informes de Fiscalización.
** El vicepresidente, Sr. Suárez Arca, da lectura al primer y segundo puntos del orden del día.
** Intervención del procurador Sr. González Reglero (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo.
** En turno en contra, interviene el procurador Sr. Teira Lafuente (Grupo VOX Castilla y León).
** En turno en contra, interviene el procurador Sr. Berzosa Peña (Grupo Popular).
** En turno de réplica, interviene el procurador Sr. González Reglero (Grupo Socialista).
** En turno de dúplica, interviene el procurador Sr. Berzosa Peña (Grupo Popular).
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León que han sido debatidas; son rechazadas. Seguidamente, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León que han sido debatidas; son rechazadas.
** El presidente, Sr. Castro Cañibano, levanta la sesión.
** Se levanta la sesión a las diecisiete horas treinta minutos.
[Se inicia la sesión a las diecisiete horas cinco minutos].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Buenas tardes, señorías. Se abre la sesión. ¿Algún grupo parlamentario quiere comunicar alguna sustitución? ¿Por el Grupo Parlamentario Socialista?
LA SEÑORA PELEGRINA CORTIJO:
Isabel Gonzalo Ramírez sustituye a Rosa Rubio Martín.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
¿Por el Grupo Parlamentario Popular?
EL SEÑOR BERZOSA PEÑA:
Sí, señor presidente. Elena Rincón Iglesias en sustitución de María de los Ángeles Prieto Sánchez; Javier Carpio Guijarro en sustitución María de las Mercedes Cófreces Martín; y Juan Jesús Blanco Muñiz en sustitución de Rosa María Esteban Ayuso... Ayuso.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Muchas gracias. Sí. Esta Comisión cuenta con 2 puntos en el orden del día. Por acuerdo de los grupos, salvo que se diga que no, si alguien tiene alguna consideración, se ha determinado que, por coincidir los temas -son coincidentes-, se van a unificar en un único punto del orden del día. Aunque ponga el tiempo según establecido por Reglamento, la Presidencia será lo suficientemente flexible como para que todo el mundo pueda decir lo que considere oportuno.
Procedemos a la lectura del primer punto del orden del día y del segundo. Para eso, tiene la palabra el señor vicepresidente.
Propuestas de Resolución Informes de Fiscalización
EL VICEPRESIDENTE (SEÑOR SUÁREZ ARCA):
Primer punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León.
Y segundo punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Debatido en Comisión el Informe de Fiscalización del Consejo de Cuentas en el que se acaba de referir el señor secretario, los dos puntos, en relación con el mismo se han presentado propuestas de resolución admitidas a trámite por la Mesa de la Comisión del Grupo Parlamentario Socialista.
De conformidad con lo establecido en la norma quinta de la Resolución de la Presidencia de las Cortes de Castilla y León de siete de abril del dos mil nueve, para la presentación y defensa de las propuestas de resolución presentadas por el Grupo Parlamentario Socialista tiene la palabra, en representación del grupo parlamentario... de dicho grupo parlamentario, el procurador don Pedro Luis González Reglero, por un tiempo superior, si es necesario, de diez minutos.
EL SEÑOR GONZÁLEZ REGLERO:
Sí, gracias. No los creo necesario utilizarlos; pero expondré cuál es nuestra posición al respecto con las propuestas de resolución de ambos ayuntamientos, relativas al análisis de la seguridad informática, cuyo... cuyo informe lo aprobó el Pleno del Consejo de Cuentas el día veinte de diciembre del año veintidós, hace ya un año largo, un año y medio largo. Posteriormente, lo... se analizaron y se presentaron en esta Comisión el día cinco de junio del año veintitrés, hace casi un año también. Y hoy... hoy, seis de mayo del año veinticuatro, debatimos las propuestas de resolución; 17 meses después de que el Pleno del Consejo de Cuentas lo aprobara.
Yo creo que alguien debiera de hacer un análisis y reflexionar sobre la conveniencia o no de debatirlas en el día de hoy estas propuestas de resolución, que nos... no son únicas y exclusivas a las que hoy vamos a presentar, sino que viene siendo ya un hecho pues repetitivo a lo largo de los años y a lo largo de la presente legislatura, de que se debaten las propuestas de resolución que el Consejo de Cuentas, según el informe presenta, pues año y medio después.
Yo no sé si alguno tiene voluntad o no de anestesiar a este Parlamento, y la mayoría, tanto en la Mesa de las Cortes como en la Mesa de esta Comisión, pues la tiene quien la tiene. Por nuestra parte, ya lo hemos dicho en reiteradas ocasiones que no tenemos ningún problema en debatir y hacer las Comisiones... y proponer las Comisiones que sean necesarias, por lo menos por darlo un poco de... de utilidad a este Parlamento, porque, si no, pues fuera, en la calle, puede pensar la gente que... que a qué se viene aquí, como se decía en el pasado... en el pasado Pleno y en las pasadas Comisiones de Hacienda también, en relación con los presupuestos, que yo creo que es una auténtica tomadura de pelo hacia los ciudadanos, fundamentalmente, que es yo creo hacia quien nos debemos todos.
Son, por parte del Ayuntamiento de Burgos, 8 propuestas de resolución en las que nosotros insistimos; y en el análisis de la seguridad informática del Ayuntamiento de Palencia son 11, en las que también insistimos si verdaderamente no queda en papel mojado cuando aquí se dice la importancia que tiene el trabajo que realiza el Consejo de Cuentas, la importancia que tiene esos informes, y nos encontramos, pues en la situación que nos encontramos -como decía anteriormente-, después de 17 meses debatimos unas propuestas de resolución. Alguien debiera de hacer un análisis del por qué.
Propuestas de resolución que son las recomendaciones que detallaba el Consejo de Cuentas en su informe, y en las que nosotros, como siempre venimos haciendo y respetamos, desde luego... porque sé lo que nos van a decir los grupos que sustentan al Gobierno, que la autonomía local, cuando no es la autonomía local, es que no ven conveniente las recomendaciones que hace el Consejo, y, cuando no, pues cualquier otra disculpa que busquen más... con más sentido o menos sentido, pero que, desde luego, en flaco favor se hace al Consejo de Cuentas si verdaderamente lo que se quiere es poner en valor la importancia de ese trabajo y la importancia de un órgano como el propio Consejo de Cuentas.
Y como ya ha sido debatido -ya digo hace un tiempo, va a hacer casi un año, en esta Comisión- y quedó meridianamente claro lo que vino a trasladar el presidente del Consejo de Cuentas, pues pasaré a leer las propuestas de resolución de ambos... de ambos ayuntamientos, del análisis de la seguridad informática de ambos ayuntamientos.
En cuanto al Ayuntamiento de Burgos: El concejal competente por razón de la materia, con carácter general, deberá impulsar las actuaciones necesarias para ajustar a la normativa vigente las acciones encaminadas a garantizar la eficacia de sus controles de ciberseguridad y para solventar cualquier deficiencia de carácter técnico, pudiendo valerse de las guías que al respecto publican organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos.
La segunda. El alcalde deberá asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, comenzando por a) Solventar la ocupación de plazas relevantes dentro del Departamento de Tecnologías de la Información, como son las de responsable de Seguridad y Operación, responsable de Administración electrónica y responsable del Centro de Atención a Usuarios, con el fin de solventar aquellos aspectos técnicos que precisen mejoras y establecer estrategias adecuadas, con una diferenciación de responsabilidades que ahora recaen en la misma persona. Específicamente, se deberían culminar el proceso mediante la realización de auditorías o evaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
La tercera viene a decir que el concejal competente por razón de la materia deberá impulsar las acciones necesarias para dotar adecuadamente de los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información, según el modelo general adoptado.
La cuarta. El responsable de seguridad que se determine... que se determine la política de seguridad deberá garantizar que existe una documentación suficiente en el entorno de las tecnologías de la información del ayuntamiento para asegurar que el conocimiento de los... sobre los sistemas de información esté disponible con independencia de las personas que formen el Departamento de Tecnologías de la Información.
La quinta. El concejal competente deberá impulsar la realización de una planificación a lo largo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y la utilización del software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
La sexta. Se debe definir en la política de seguridad... Se debería valorar junto con el responsable del sistema el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización de pruebas de penetración que simulen ataques reales.
Se deberá impulsar también por parte del concejal, la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se deben llevar a cabo... cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración, de acuerdo a lo especificado en el Esquema Nacional de Seguridad.
Y el octavo. El Pleno del Ayuntamiento debería aprobar una normativa que garantice el registro de actividad de los usuarios se realiza... que el registro de actividad de los usuarios se realice de acuerdo con las plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales de función pública o laboral, según lo establecido en el Artículo 23 del Esquema Nacional de Seguridad.
En cuanto a las propuestas de resolución del Ayuntamiento de Palencia: El concejal competente por razón de la materia, con carácter general, debería impulsar las actuaciones necesarias para ajustar a la normativa vigente las acciones encaminadas a garantizar la... la eficacia de sus controles de ciberseguridad y para solventar cualquier deficiencia de carácter técnico, pudiendo... pudiendo valerse de las guías que al respecto publican organismos como el Centro Criptológico Nacional, la Federación Regional de Municipios y Provincias o la Agencia Española de Protección de Datos; es... es igual que la del Ayuntamiento de Burgos.
El alcalde debería asumir... -al igual también que... prácticamente igual que la del Ayuntamiento de Burgos- debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, y, para ello, sería necesario que se aprobase una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo; que se dote de los recursos necesarios al servicio de nuevas tecnologías para solventar aquellos aspectos técnicos que precisen mejoras, poniendo especial énfasis en regularizar situaciones temporales de puestos especialmente relevantes para la organización; y que se acordase la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
El punto 3. Para poder proceder al desarrollo de la estructura y procedimientos necesarios para estructurar y documentar el proceso de seguridad, el alcalde debería nombrar a un responsable de la información, así como a un responsable del servicio y de la seguridad.
El punto 4. Insistimos y recalcamos que el responsable de seguridad que se determine en la política de seguridad, en coordinación con el responsable del sistema para cada proceso de gestión de tecnologías de la información, deberá... debería elaborar y elevar a su aprobación formal el procedimiento que lo describe, en el que se detalle el alcance, tareas a realizar, responsabilidades, registros o documentación que se genere, así como cualquier otro aspecto relevante del proceso en concreto.
Punto 5. En cuanto al entorno tecnológico, el concejal competente por razón de la materia deberá impulsar... debería impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información, según el modelo general adoptado.
El responsable de seguridad que se determine... que se determine en la política de seguridad deberá... debería garantizar que existe una documentación suficiente del entorno de las tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información esté disponible, con independencia de las personas que forman el Servicio de Tecnologías de la Información.
El punto 7. El concejal competente debería impulsar la realización de una planificación a lo largo... a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y de la utilización del software, sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
De cara a garantizar un proceso continuo de identificación y de corrección de vulnerabilidades, el responsable de seguridad que se defina en la política de seguridad debería valorar, junto con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización de pruebas de penetración que simulan ataques reales.
En el punto 9, el concejal competente debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración, de acuerdo a lo especificado en el Esquema Nacional de Seguridad.
El punto 10. El Pleno del Ayuntamiento deberá... debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en los Artículos 11 y 27.4 del Esquema Nacional de Seguridad.
Y el último punto, el 11. La intervención municipal debería realizar la auditoría anual de Sistemas del Registro Contable de Facturas, pudiendo valerse para ello de la guía marco publicada por la Intervención General de la Administración del Estado.
Estos son los 19 puntos, 11 en el Ayuntamiento Palencia y 8 en el Ayuntamiento de Burgos que esperamos, por aquello de reforzar el papel y la importancia que realiza el trabajo de... del Consejo de Cuentas, sean aprobados.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En un turno en contra compartido, tiene la palabra el procurador don Javier Bernardo Teira Lafuente. El turno compartido será de diez minutos.
EL SEÑOR TEIRA LAFUENTE:
Muchas gracias, señor presidente. Buenas tardes, señorías. Seré breve, seré breve, como no puede ser de otro modo, puesto que ni vamos a repetir los argumentos de la Comisión ni vamos a repetir la lectura de las recomendaciones.
Básicamente, sí me gustaría recordar que la finalidad de los informes de las auditorías que motivaron los informes era comprobar... evaluar operativamente los controles de ciberseguridad, evaluar el... la concordancia con la normativa, el ajuste a la normativa, y proporcionar a los entes auditados la información necesaria para mejorar los procesos.
No voy a insistir en los elogios a la precisión, a la exhaustividad y a la... y al interés de los informes del Consejo de Cuentas a este respecto. Simplemente diré algo o insistiré en algo a lo que usted ya ha hecho referencia, y es que en la Administración competente para poner en marcha esta... para aplicar estas recomendaciones son los municipios, y que los municipios no han hecho tampoco oídos sordos a las recomendaciones del... del Consejo de Cuentas.
Por lo tanto, en primer lugar, la autonomía municipal. Y, en segundo lugar, hay que subrayar el hecho de que, en relación con... con la... el informe de seguimiento de las recomendaciones de ciberseguridad del Ayuntamiento de Burgos, de las 8 recomendaciones a las que usted ha dado lectura, 4 fueron aplicadas parcialmente, 2 se entendieron corregidas, 2 no fueron aplicadas, pero sí se tomaron en consideración. Por lo tanto, entendemos que es redundante y no es pertinente la propuesta de... la propuesta de resolución que presentan.
Y en relación con el Ayuntamiento de Palencia, un ayuntamiento en el que, a mayores, hay que decir que está en manos de... del Partido Socialista, por lo cual, sería muy sencillo que trasladasen ustedes a su grupo el interés de... de perfeccionar todavía más la aplicación de estas recomendaciones. Pero, aun con todo, hay que decir que, de esas 11 recomendaciones, de esas 11 medidas, 6 fueron aplicadas parcialmente, 4 corregidas y 1 no fue aplicada, pero fue tomada en consideración.
Por todo lo cual, entendemos -como ya le he adelantado- que es redundante, no es pertinente y no tiene en cuenta la autonomía municipal a la hora de plantear el Grupo Socialista estas propuestas de resolución. Y, por consiguiente, votaremos en contra. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En un turno en contra, tiene la palabra, por Grupo Parlamentario Popular, el procurador don Emilio José Berzosa Peña.
EL SEÑOR BERZOSA PEÑA:
Muchas gracias, señor presidente. Bueno, pues vamos a avanzar en estos informes de seguridad informática de los ayuntamientos -como ya hemos dicho- de Burgos y de Palencia, relacionados, pues bien se ha dicho ya, con la seguridad informática de los mismos en el año, en este caso, dos mil veintidós.
Y cabe destacar que el Ayuntamiento de Burgos, tanto el de Burgos como el de Palencia, están en un nivel de madurez muy similar, en este caso un nivel 2, con un cumplimiento de... uno del 67 % y otro del 65, estando todavía lejos de ese objetivo marcado del 80 % requerido para la fiscalización de la que estamos hablando.
Como todos sabemos, en esta materia hay legislación muy clara y extensa, tanto europea, estatal y por supuesto autonómica. Y, bueno, pues en los informes -como ya hemos dicho otras veces- tienen un objetivo muy claro, que es evaluar y verificar el funcionamiento de los controles básicos de ciberseguridad implantados, así como facilitar a la entidad información relevante sobre su grado de ciberseguridad para implementar las mejoras que sean oportunas. Y como ya lo ha dicho también el proponente y también el compañero de Vox, defendiendo siempre, por parte del Grupo Parlamentario Popular, la autonomía municipal claramente garantizada y su independencia en la capacidad de tomas de decisiones.
Los ayuntamientos han sufrido una gran transformación digital muy importante en los últimos 4 años, ya no solo por el propio COVID en el año dos mil veinte, sino también por la implantación de manera definitiva de la Administración electrónica, algo que hay que llevar a cabo cumpliendo una serie de requisitos mínimos de seguridad en sus sistemas y que, además, para que sean fiables, habrá de realizar una serie de controles eficientes en ciberseguridad, pero sobre todo de manera periódica, puesto que todos los datos que se tratan -como ya saben ustedes- deben de ser, como es lógico, confidenciales y muchos con gran relevancia, pero sobre todo deben de estar protegidos de posibles ataques informáticos que pudieran dar un mal uso a esa información.
En los informes realizados vemos un análisis claro de cada uno de los ayuntamientos, siguiendo los elementos fiscalizados en relación al propio Esquema Nacional de Seguridad. No voy a entrar en ellos porque ya se analizaron los informes, pero sí que voy a hacer hincapié en alguno de ellos que creo que son clave y que es importante poner el punto.
La relación de las RPT de los dos ayuntamientos para la... el Departamento de Tecnología de la Información. Vemos dos diferencias muy claras: por un lado, Palencia tiene 11 puestos en su RPT, de las cuales 8 están cubiertos con funcionarios de carrera y 3 con funcionarios interinos, lo que da una estabilidad y una seguridad a la propia sección y al reparto de competencias bien claramente marcadas; mientras que en el Ayuntamiento de Burgos, de los 21 puestos que tiene la RPT solo hay 16 cubiertos y de manera muy dispar: 6 fijos, 5 indefinidos y 5 interinos.
También destacar algo que creemos que... que tiene su peligro, y es que tanto Burgos como Palencia siguen manteniendo cuentas genéricas, lo cual supone una brecha importante en la seguridad. Aunque sí que es verdad que las contraseñas... el uso de contraseñas es adecuado.
Y luego otro tema que es preocupante en el Ayuntamiento de Palencia, como es la no... no haber desplegado la Sonda SAT-INET dentro del tráfico de datos, y lo que amenaza o provoca que no se pueda encontrar las amenazas en tiempo real en la propia red de información.
Y luego, lógicamente, pues los incumplimientos normativos de los diferentes ayuntamientos. En el caso de Burgos, los Artículos 38, 35 y 42 del Esquema Nacional de Seguridad, y en el de Palencia los Artículos 11, 27.4, el 34 y 41, además del Artículo 12 de la Ley 25/2013, del veintisiete de diciembre, de la factura electrónica y la creación del registro contable de facturas, que tiene que auditarse todos los años.
La verdad es que también en estos análisis se ve las dificultades que están teniendo los ayuntamientos para ir poniéndose al día en esta materia, y algo que está claro que cada día se tiene más... tiene más importancia, la ciberseguridad. Y, sobre todo, tener clara la necesidad de que los departamentos de tecnologías de la información tienen que estar sobre todo bien dotados, con personal estable.
Por tanto, y viendo que... que los ayuntamientos, sí que es verdad -como ha dicho el compañero de Vox- que han tomado medidas y en consideración las recomendaciones, pedirles que sigan trabajando en la línea marcada en esta materia para poder ir llegando a los objetivos y redundar sobre todo en una mayor seguridad, no solo para... no solo para la Administración, sino también para los propios... para los propios ciudadanos.
Y, bueno, aunque se está avanzando, la verdad es que queda mucho trabajo por hacer. Es algo que... y algo que ha venido sobre todo para quedarse y en el que hay que tomárselo muy... muy en serio.
Desde el Grupo Parlamentario Popular queremos agradecer sobre todo el trabajo que se ha realizado, que, sin duda, es y será para mejorar la gestión de la ciberseguridad y las tecnologías de la información en los propios ayuntamientos. Pero como he dicho anteriormente, defendemos la independencia y la autonomía de los ayuntamientos en la capacidad de toma de decisiones que les afecte directamente. Por eso, no podremos votar a favor de la propuesta presentada. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Concluido el debate, vamos a proceder a la votación. Vamos a ir votando... [Murmullos]. [La Presidencia se dirige a la letrada que asesora a la Comisión]. ¿Tiene réplica? ¿Cinco minutos? ¿Cinco? En el turno de réplica, el procurador don Pedro Luis González Reglero, por un tiempo de cinco minutos.
EL SEÑOR GONZÁLEZ REGLERO:
Sí, gracias. Yo pensaba que sí, que había turno de réplica, por lo menos otras veces sí que... sí que la hemos tenido.
Bien. Bueno, nada... nada nuevo bajo el sol. No es algo que nos sorprenda. Cuando no es por la... por la autonomía municipal es porque cuando se tiene que instalar la Junta en la cuenta general, o, como hemos visto en el informe que se ha presentado hoy, sobre determinadas bonificaciones fiscales que el Consejo de Cuentas ha pegado un pequeño rapapolvo a la Junta, pues, bueno, buscarán el argumentario o la argumentación que consideren oportuna que no ha lugar. El caso es... el caso es nunca aceptar ni reforzar el papel del trabajo del Consejo de Cuentas, porque, bueno, pues porque cada uno trabaja para quien trabaja y lo ve como lo ve. En ese sentido, ya digo que nada nuevo bajo el sol.
Pero dos... dos... Bueno, también se nos dice que son redundantes las propuestas de resolución. Bueno, yo tampoco voy a entrar a valorar aquí la cantidad de veces que han traído algunos la misma... las mismas mociones a las Comisiones, a los Plenos, porque si es por entrar en eso... bueno, pues algunas veces se hacen también muy reiterativas las diferentes iniciativas que trasladan aquí diferentes grupos. Dejémoslo... dejémoslo en eso.
Claro, también decía alguno que... que en el Ayuntamiento de Palencia, que está en manos del PSOE. Sí, está en manos del PSOE desde el año veintitrés. Cuando se hizo este informe, que fue en el año veintiuno, quien gobernaba no era el Partido Socialista, era Ciudadanos más el Partido Popular. Por lo tanto, en aquel momento algunos que decían, o que lo decían ahora recientemente, que... que pusiese manos a la obra el Partido Socialista, lo está haciendo ya, y ya está... vamos, corrigiendo no, modificando todo aquello que hizo mal en su día la coalición Ciudadanos-Partido Popular y está poniéndose ya manos a la obra. Pero que quede claro que este informe se elaboró cuando quien gobernaba en el Ayuntamiento de Palencia no era el Partido Socialista, vuelvo a repetir.
Por lo tanto, una vez más ponen en entredicho -bajo mi punto de vista- el trabajo del Consejo de Cuentas, no refrendando y no valorando y poniendo en valor -si vale la expresión también- del propio Consejo de Cuentas; porque, ya digo, que rechazan todas aquellas recomendaciones que, de una manera muy profesional, hacen los diferentes técnicos del Consejo de Cuentas.
No obstante, nosotros seguiremos insistiendo porque creemos en la labor que hace el Consejo de Cuentas, y traemos aquí todas esas recomendaciones que ponen de manifiesto el presidente cada vez que comparece como propuestas de resolución. Lo demás, pues cada uno sabrá qué es lo que tiene que hacer.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Tiene la palabra en... en un turno de réplica, el procurador don José Emilio... Emilio José Berzosa Peña, por un tiempo de cinco minutos.
EL SEÑOR BERZOSA PEÑA:
Muchas gracias, señor presidente. Nada más agradecer sobre todo el trabajo del Consejo de Cuentas, en el que también creemos que hacen un gran trabajo, no solo el propio Consejo, sino también los trabajadores de las diferentes Administraciones a las que se les audita.
La verdad es que es un trabajo extenso y complicado y en el que ha quedado palpable, como decía, la profesionalidad y voluntad de todos los agentes que han participado en él.
Y lo hemos dicho: los ayuntamientos ya se han puesto manos a la obra para dar solución a los problemas detectados; algo que es importante y que es de agradecer. Ello viene precisamente de su autonomía y su potestad para tomar decisiones. Y lo que sí que tenemos claro es que también habrá que tender la mano para ayudar a esos ayuntamientos a que se pongan al nivel de protección correcto y buscar mecanismos para poder llegar a los objetivos marcados lo antes posible. Nada más. Muchas gracias.
Votación propuestas de resolución
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí. Concluido el debate de las propuestas de resolución, vamos a proceder a la votación. Vamos a votar cada uno de los puntos por separado, como no puede ser de otra manera.
Vamos a... en primer lugar, se votan las propuestas de resolución del análisis de la seguridad informática del Ayuntamiento de Burgos. ¿Votos a favor de las propuestas de resolución presentadas por el Partido Socialista? Ocho. ¿Votos en contra? Nueve. Por lo tanto, quedan rechazadas.
Pasemos a la votación de las propuestas de resolución del análisis de seguridad informática del Ayuntamiento de Palencia. ¿Votos a favor? Ocho. ¿Votos en contra? Nueve. Quedan rechazadas.
¿Algún grupo parlamentario quiere explicar su voto, de los que no han intervenido? ¿Ninguno de los dos? Perfecto.
Finalizada la tramitación de estas propuestas de resolución sin haber sido aprobadas ninguna de ellas, esta Presidencia procederá a comunicar a la Presidencia de las Cortes este hecho, a los... a los efectos oportunos y a trasladar el informe de fiscalización sobre en el que se han versado dichas propuestas de resolución.
No habiendo más puntos que tratar, se levanta la sesión. Muchas gracias.
[Se levanta la sesión a las diecisiete horas treinta minutos].
DS(C) nº 357/11 del 6/5/2024
CVE="DSCOM-11-000357"
Diario de Sesiones de las Cortes de Castilla y León
XI Legislatura
Comisión de Economía y Hacienda
DS(C) nº 357/11 del 6/5/2024
CVE: DSCOM-11-000357
DS(C) nº 357/11 del 6/5/2024. Comisión de Economía y Hacienda
Sesión Celebrada el día 06 de mayo de 2024, en Valladolid
Bajo la Presidencia de: José Alberto Castro Cañibano
Pags. 15181-15192
ORDEN DEL DÍA:
1. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León.
2. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León.
SUMARIO:
** Se inicia la sesión a las diecisiete horas cinco minutos.
** El presidente, Sr. Castro Cañibano, abre la sesión.
** Intervención de la procuradora Sra. Pelegrina Cortijo (Grupo Socialista) para comunicar sustituciones.
** Intervención del procurador Sr. Berzosa Peña (Grupo Popular) para comunicar sustituciones.
** El presidente, Sr. Castro Cañibano, comunica que, por acuerdo de los grupos parlamentarios, se debatirán conjuntamente el primer y segundo puntos del orden del día.
** Puntos primero y segundo del orden del día. Propuestas de Fiscalización Informes de Fiscalización.
** El vicepresidente, Sr. Suárez Arca, da lectura al primer y segundo puntos del orden del día.
** Intervención del procurador Sr. González Reglero (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo.
** En turno en contra, interviene el procurador Sr. Teira Lafuente (Grupo VOX Castilla y León).
** En turno en contra, interviene el procurador Sr. Berzosa Peña (Grupo Popular).
** En turno de réplica, interviene el procurador Sr. González Reglero (Grupo Socialista).
** En turno de dúplica, interviene el procurador Sr. Berzosa Peña (Grupo Popular).
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León que han sido debatidas; son rechazadas. Seguidamente, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León que han sido debatidas; son rechazadas.
** El presidente, Sr. Castro Cañibano, levanta la sesión.
** Se levanta la sesión a las diecisiete horas treinta minutos.
TEXTO:
[Se inicia la sesión a las diecisiete horas cinco minutos].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Buenas tardes, señorías. Se abre la sesión. ¿Algún grupo parlamentario quiere comunicar alguna sustitución? ¿Por el Grupo Parlamentario Socialista?
LA SEÑORA PELEGRINA CORTIJO:
Isabel Gonzalo Ramírez sustituye a Rosa Rubio Martín.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
¿Por el Grupo Parlamentario Popular?
EL SEÑOR BERZOSA PEÑA:
Sí, señor presidente. Elena Rincón Iglesias en sustitución de María de los Ángeles Prieto Sánchez; Javier Carpio Guijarro en sustitución María de las Mercedes Cófreces Martín; y Juan Jesús Blanco Muñiz en sustitución de Rosa María Esteban Ayuso... Ayuso.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Muchas gracias. Sí. Esta Comisión cuenta con 2 puntos en el orden del día. Por acuerdo de los grupos, salvo que se diga que no, si alguien tiene alguna consideración, se ha determinado que, por coincidir los temas -son coincidentes-, se van a unificar en un único punto del orden del día. Aunque ponga el tiempo según establecido por Reglamento, la Presidencia será lo suficientemente flexible como para que todo el mundo pueda decir lo que considere oportuno.
Procedemos a la lectura del primer punto del orden del día y del segundo. Para eso, tiene la palabra el señor vicepresidente.
Propuestas de Resolución Informes de Fiscalización
EL VICEPRESIDENTE (SEÑOR SUÁREZ ARCA):
Primer punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Burgos, del Consejo de Cuentas de Castilla y León.
Y segundo punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de Análisis de la seguridad informática del Ayuntamiento de Palencia, del Consejo de Cuentas de Castilla y León.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Debatido en Comisión el Informe de Fiscalización del Consejo de Cuentas en el que se acaba de referir el señor secretario, los dos puntos, en relación con el mismo se han presentado propuestas de resolución admitidas a trámite por la Mesa de la Comisión del Grupo Parlamentario Socialista.
De conformidad con lo establecido en la norma quinta de la Resolución de la Presidencia de las Cortes de Castilla y León de siete de abril del dos mil nueve, para la presentación y defensa de las propuestas de resolución presentadas por el Grupo Parlamentario Socialista tiene la palabra, en representación del grupo parlamentario... de dicho grupo parlamentario, el procurador don Pedro Luis González Reglero, por un tiempo superior, si es necesario, de diez minutos.
EL SEÑOR GONZÁLEZ REGLERO:
Sí, gracias. No los creo necesario utilizarlos; pero expondré cuál es nuestra posición al respecto con las propuestas de resolución de ambos ayuntamientos, relativas al análisis de la seguridad informática, cuyo... cuyo informe lo aprobó el Pleno del Consejo de Cuentas el día veinte de diciembre del año veintidós, hace ya un año largo, un año y medio largo. Posteriormente, lo... se analizaron y se presentaron en esta Comisión el día cinco de junio del año veintitrés, hace casi un año también. Y hoy... hoy, seis de mayo del año veinticuatro, debatimos las propuestas de resolución; 17 meses después de que el Pleno del Consejo de Cuentas lo aprobara.
Yo creo que alguien debiera de hacer un análisis y reflexionar sobre la conveniencia o no de debatirlas en el día de hoy estas propuestas de resolución, que nos... no son únicas y exclusivas a las que hoy vamos a presentar, sino que viene siendo ya un hecho pues repetitivo a lo largo de los años y a lo largo de la presente legislatura, de que se debaten las propuestas de resolución que el Consejo de Cuentas, según el informe presenta, pues año y medio después.
Yo no sé si alguno tiene voluntad o no de anestesiar a este Parlamento, y la mayoría, tanto en la Mesa de las Cortes como en la Mesa de esta Comisión, pues la tiene quien la tiene. Por nuestra parte, ya lo hemos dicho en reiteradas ocasiones que no tenemos ningún problema en debatir y hacer las Comisiones... y proponer las Comisiones que sean necesarias, por lo menos por darlo un poco de... de utilidad a este Parlamento, porque, si no, pues fuera, en la calle, puede pensar la gente que... que a qué se viene aquí, como se decía en el pasado... en el pasado Pleno y en las pasadas Comisiones de Hacienda también, en relación con los presupuestos, que yo creo que es una auténtica tomadura de pelo hacia los ciudadanos, fundamentalmente, que es yo creo hacia quien nos debemos todos.
Son, por parte del Ayuntamiento de Burgos, 8 propuestas de resolución en las que nosotros insistimos; y en el análisis de la seguridad informática del Ayuntamiento de Palencia son 11, en las que también insistimos si verdaderamente no queda en papel mojado cuando aquí se dice la importancia que tiene el trabajo que realiza el Consejo de Cuentas, la importancia que tiene esos informes, y nos encontramos, pues en la situación que nos encontramos -como decía anteriormente-, después de 17 meses debatimos unas propuestas de resolución. Alguien debiera de hacer un análisis del por qué.
Propuestas de resolución que son las recomendaciones que detallaba el Consejo de Cuentas en su informe, y en las que nosotros, como siempre venimos haciendo y respetamos, desde luego... porque sé lo que nos van a decir los grupos que sustentan al Gobierno, que la autonomía local, cuando no es la autonomía local, es que no ven conveniente las recomendaciones que hace el Consejo, y, cuando no, pues cualquier otra disculpa que busquen más... con más sentido o menos sentido, pero que, desde luego, en flaco favor se hace al Consejo de Cuentas si verdaderamente lo que se quiere es poner en valor la importancia de ese trabajo y la importancia de un órgano como el propio Consejo de Cuentas.
Y como ya ha sido debatido -ya digo hace un tiempo, va a hacer casi un año, en esta Comisión- y quedó meridianamente claro lo que vino a trasladar el presidente del Consejo de Cuentas, pues pasaré a leer las propuestas de resolución de ambos... de ambos ayuntamientos, del análisis de la seguridad informática de ambos ayuntamientos.
En cuanto al Ayuntamiento de Burgos: El concejal competente por razón de la materia, con carácter general, deberá impulsar las actuaciones necesarias para ajustar a la normativa vigente las acciones encaminadas a garantizar la eficacia de sus controles de ciberseguridad y para solventar cualquier deficiencia de carácter técnico, pudiendo valerse de las guías que al respecto publican organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos.
La segunda. El alcalde deberá asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, comenzando por a) Solventar la ocupación de plazas relevantes dentro del Departamento de Tecnologías de la Información, como son las de responsable de Seguridad y Operación, responsable de Administración electrónica y responsable del Centro de Atención a Usuarios, con el fin de solventar aquellos aspectos técnicos que precisen mejoras y establecer estrategias adecuadas, con una diferenciación de responsabilidades que ahora recaen en la misma persona. Específicamente, se deberían culminar el proceso mediante la realización de auditorías o evaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
La tercera viene a decir que el concejal competente por razón de la materia deberá impulsar las acciones necesarias para dotar adecuadamente de los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información, según el modelo general adoptado.
La cuarta. El responsable de seguridad que se determine... que se determine la política de seguridad deberá garantizar que existe una documentación suficiente en el entorno de las tecnologías de la información del ayuntamiento para asegurar que el conocimiento de los... sobre los sistemas de información esté disponible con independencia de las personas que formen el Departamento de Tecnologías de la Información.
La quinta. El concejal competente deberá impulsar la realización de una planificación a lo largo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y la utilización del software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
La sexta. Se debe definir en la política de seguridad... Se debería valorar junto con el responsable del sistema el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización de pruebas de penetración que simulen ataques reales.
Se deberá impulsar también por parte del concejal, la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se deben llevar a cabo... cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración, de acuerdo a lo especificado en el Esquema Nacional de Seguridad.
Y el octavo. El Pleno del Ayuntamiento debería aprobar una normativa que garantice el registro de actividad de los usuarios se realiza... que el registro de actividad de los usuarios se realice de acuerdo con las plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales de función pública o laboral, según lo establecido en el Artículo 23 del Esquema Nacional de Seguridad.
En cuanto a las propuestas de resolución del Ayuntamiento de Palencia: El concejal competente por razón de la materia, con carácter general, debería impulsar las actuaciones necesarias para ajustar a la normativa vigente las acciones encaminadas a garantizar la... la eficacia de sus controles de ciberseguridad y para solventar cualquier deficiencia de carácter técnico, pudiendo... pudiendo valerse de las guías que al respecto publican organismos como el Centro Criptológico Nacional, la Federación Regional de Municipios y Provincias o la Agencia Española de Protección de Datos; es... es igual que la del Ayuntamiento de Burgos.
El alcalde debería asumir... -al igual también que... prácticamente igual que la del Ayuntamiento de Burgos- debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, y, para ello, sería necesario que se aprobase una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo; que se dote de los recursos necesarios al servicio de nuevas tecnologías para solventar aquellos aspectos técnicos que precisen mejoras, poniendo especial énfasis en regularizar situaciones temporales de puestos especialmente relevantes para la organización; y que se acordase la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
El punto 3. Para poder proceder al desarrollo de la estructura y procedimientos necesarios para estructurar y documentar el proceso de seguridad, el alcalde debería nombrar a un responsable de la información, así como a un responsable del servicio y de la seguridad.
El punto 4. Insistimos y recalcamos que el responsable de seguridad que se determine en la política de seguridad, en coordinación con el responsable del sistema para cada proceso de gestión de tecnologías de la información, deberá... debería elaborar y elevar a su aprobación formal el procedimiento que lo describe, en el que se detalle el alcance, tareas a realizar, responsabilidades, registros o documentación que se genere, así como cualquier otro aspecto relevante del proceso en concreto.
Punto 5. En cuanto al entorno tecnológico, el concejal competente por razón de la materia deberá impulsar... debería impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información, según el modelo general adoptado.
El responsable de seguridad que se determine... que se determine en la política de seguridad deberá... debería garantizar que existe una documentación suficiente del entorno de las tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información esté disponible, con independencia de las personas que forman el Servicio de Tecnologías de la Información.
El punto 7. El concejal competente debería impulsar la realización de una planificación a lo largo... a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y de la utilización del software, sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
De cara a garantizar un proceso continuo de identificación y de corrección de vulnerabilidades, el responsable de seguridad que se defina en la política de seguridad debería valorar, junto con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización de pruebas de penetración que simulan ataques reales.
En el punto 9, el concejal competente debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración, de acuerdo a lo especificado en el Esquema Nacional de Seguridad.
El punto 10. El Pleno del Ayuntamiento deberá... debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en los Artículos 11 y 27.4 del Esquema Nacional de Seguridad.
Y el último punto, el 11. La intervención municipal debería realizar la auditoría anual de Sistemas del Registro Contable de Facturas, pudiendo valerse para ello de la guía marco publicada por la Intervención General de la Administración del Estado.
Estos son los 19 puntos, 11 en el Ayuntamiento Palencia y 8 en el Ayuntamiento de Burgos que esperamos, por aquello de reforzar el papel y la importancia que realiza el trabajo de... del Consejo de Cuentas, sean aprobados.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En un turno en contra compartido, tiene la palabra el procurador don Javier Bernardo Teira Lafuente. El turno compartido será de diez minutos.
EL SEÑOR TEIRA LAFUENTE:
Muchas gracias, señor presidente. Buenas tardes, señorías. Seré breve, seré breve, como no puede ser de otro modo, puesto que ni vamos a repetir los argumentos de la Comisión ni vamos a repetir la lectura de las recomendaciones.
Básicamente, sí me gustaría recordar que la finalidad de los informes de las auditorías que motivaron los informes era comprobar... evaluar operativamente los controles de ciberseguridad, evaluar el... la concordancia con la normativa, el ajuste a la normativa, y proporcionar a los entes auditados la información necesaria para mejorar los procesos.
No voy a insistir en los elogios a la precisión, a la exhaustividad y a la... y al interés de los informes del Consejo de Cuentas a este respecto. Simplemente diré algo o insistiré en algo a lo que usted ya ha hecho referencia, y es que en la Administración competente para poner en marcha esta... para aplicar estas recomendaciones son los municipios, y que los municipios no han hecho tampoco oídos sordos a las recomendaciones del... del Consejo de Cuentas.
Por lo tanto, en primer lugar, la autonomía municipal. Y, en segundo lugar, hay que subrayar el hecho de que, en relación con... con la... el informe de seguimiento de las recomendaciones de ciberseguridad del Ayuntamiento de Burgos, de las 8 recomendaciones a las que usted ha dado lectura, 4 fueron aplicadas parcialmente, 2 se entendieron corregidas, 2 no fueron aplicadas, pero sí se tomaron en consideración. Por lo tanto, entendemos que es redundante y no es pertinente la propuesta de... la propuesta de resolución que presentan.
Y en relación con el Ayuntamiento de Palencia, un ayuntamiento en el que, a mayores, hay que decir que está en manos de... del Partido Socialista, por lo cual, sería muy sencillo que trasladasen ustedes a su grupo el interés de... de perfeccionar todavía más la aplicación de estas recomendaciones. Pero, aun con todo, hay que decir que, de esas 11 recomendaciones, de esas 11 medidas, 6 fueron aplicadas parcialmente, 4 corregidas y 1 no fue aplicada, pero fue tomada en consideración.
Por todo lo cual, entendemos -como ya le he adelantado- que es redundante, no es pertinente y no tiene en cuenta la autonomía municipal a la hora de plantear el Grupo Socialista estas propuestas de resolución. Y, por consiguiente, votaremos en contra. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En un turno en contra, tiene la palabra, por Grupo Parlamentario Popular, el procurador don Emilio José Berzosa Peña.
EL SEÑOR BERZOSA PEÑA:
Muchas gracias, señor presidente. Bueno, pues vamos a avanzar en estos informes de seguridad informática de los ayuntamientos -como ya hemos dicho- de Burgos y de Palencia, relacionados, pues bien se ha dicho ya, con la seguridad informática de los mismos en el año, en este caso, dos mil veintidós.
Y cabe destacar que el Ayuntamiento de Burgos, tanto el de Burgos como el de Palencia, están en un nivel de madurez muy similar, en este caso un nivel 2, con un cumplimiento de... uno del 67 % y otro del 65, estando todavía lejos de ese objetivo marcado del 80 % requerido para la fiscalización de la que estamos hablando.
Como todos sabemos, en esta materia hay legislación muy clara y extensa, tanto europea, estatal y por supuesto autonómica. Y, bueno, pues en los informes -como ya hemos dicho otras veces- tienen un objetivo muy claro, que es evaluar y verificar el funcionamiento de los controles básicos de ciberseguridad implantados, así como facilitar a la entidad información relevante sobre su grado de ciberseguridad para implementar las mejoras que sean oportunas. Y como ya lo ha dicho también el proponente y también el compañero de Vox, defendiendo siempre, por parte del Grupo Parlamentario Popular, la autonomía municipal claramente garantizada y su independencia en la capacidad de tomas de decisiones.
Los ayuntamientos han sufrido una gran transformación digital muy importante en los últimos 4 años, ya no solo por el propio COVID en el año dos mil veinte, sino también por la implantación de manera definitiva de la Administración electrónica, algo que hay que llevar a cabo cumpliendo una serie de requisitos mínimos de seguridad en sus sistemas y que, además, para que sean fiables, habrá de realizar una serie de controles eficientes en ciberseguridad, pero sobre todo de manera periódica, puesto que todos los datos que se tratan -como ya saben ustedes- deben de ser, como es lógico, confidenciales y muchos con gran relevancia, pero sobre todo deben de estar protegidos de posibles ataques informáticos que pudieran dar un mal uso a esa información.
En los informes realizados vemos un análisis claro de cada uno de los ayuntamientos, siguiendo los elementos fiscalizados en relación al propio Esquema Nacional de Seguridad. No voy a entrar en ellos porque ya se analizaron los informes, pero sí que voy a hacer hincapié en alguno de ellos que creo que son clave y que es importante poner el punto.
La relación de las RPT de los dos ayuntamientos para la... el Departamento de Tecnología de la Información. Vemos dos diferencias muy claras: por un lado, Palencia tiene 11 puestos en su RPT, de las cuales 8 están cubiertos con funcionarios de carrera y 3 con funcionarios interinos, lo que da una estabilidad y una seguridad a la propia sección y al reparto de competencias bien claramente marcadas; mientras que en el Ayuntamiento de Burgos, de los 21 puestos que tiene la RPT solo hay 16 cubiertos y de manera muy dispar: 6 fijos, 5 indefinidos y 5 interinos.
También destacar algo que creemos que... que tiene su peligro, y es que tanto Burgos como Palencia siguen manteniendo cuentas genéricas, lo cual supone una brecha importante en la seguridad. Aunque sí que es verdad que las contraseñas... el uso de contraseñas es adecuado.
Y luego otro tema que es preocupante en el Ayuntamiento de Palencia, como es la no... no haber desplegado la Sonda SAT-INET dentro del tráfico de datos, y lo que amenaza o provoca que no se pueda encontrar las amenazas en tiempo real en la propia red de información.
Y luego, lógicamente, pues los incumplimientos normativos de los diferentes ayuntamientos. En el caso de Burgos, los Artículos 38, 35 y 42 del Esquema Nacional de Seguridad, y en el de Palencia los Artículos 11, 27.4, el 34 y 41, además del Artículo 12 de la Ley 25/2013, del veintisiete de diciembre, de la factura electrónica y la creación del registro contable de facturas, que tiene que auditarse todos los años.
La verdad es que también en estos análisis se ve las dificultades que están teniendo los ayuntamientos para ir poniéndose al día en esta materia, y algo que está claro que cada día se tiene más... tiene más importancia, la ciberseguridad. Y, sobre todo, tener clara la necesidad de que los departamentos de tecnologías de la información tienen que estar sobre todo bien dotados, con personal estable.
Por tanto, y viendo que... que los ayuntamientos, sí que es verdad -como ha dicho el compañero de Vox- que han tomado medidas y en consideración las recomendaciones, pedirles que sigan trabajando en la línea marcada en esta materia para poder ir llegando a los objetivos y redundar sobre todo en una mayor seguridad, no solo para... no solo para la Administración, sino también para los propios... para los propios ciudadanos.
Y, bueno, aunque se está avanzando, la verdad es que queda mucho trabajo por hacer. Es algo que... y algo que ha venido sobre todo para quedarse y en el que hay que tomárselo muy... muy en serio.
Desde el Grupo Parlamentario Popular queremos agradecer sobre todo el trabajo que se ha realizado, que, sin duda, es y será para mejorar la gestión de la ciberseguridad y las tecnologías de la información en los propios ayuntamientos. Pero como he dicho anteriormente, defendemos la independencia y la autonomía de los ayuntamientos en la capacidad de toma de decisiones que les afecte directamente. Por eso, no podremos votar a favor de la propuesta presentada. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Concluido el debate, vamos a proceder a la votación. Vamos a ir votando... [Murmullos]. [La Presidencia se dirige a la letrada que asesora a la Comisión]. ¿Tiene réplica? ¿Cinco minutos? ¿Cinco? En el turno de réplica, el procurador don Pedro Luis González Reglero, por un tiempo de cinco minutos.
EL SEÑOR GONZÁLEZ REGLERO:
Sí, gracias. Yo pensaba que sí, que había turno de réplica, por lo menos otras veces sí que... sí que la hemos tenido.
Bien. Bueno, nada... nada nuevo bajo el sol. No es algo que nos sorprenda. Cuando no es por la... por la autonomía municipal es porque cuando se tiene que instalar la Junta en la cuenta general, o, como hemos visto en el informe que se ha presentado hoy, sobre determinadas bonificaciones fiscales que el Consejo de Cuentas ha pegado un pequeño rapapolvo a la Junta, pues, bueno, buscarán el argumentario o la argumentación que consideren oportuna que no ha lugar. El caso es... el caso es nunca aceptar ni reforzar el papel del trabajo del Consejo de Cuentas, porque, bueno, pues porque cada uno trabaja para quien trabaja y lo ve como lo ve. En ese sentido, ya digo que nada nuevo bajo el sol.
Pero dos... dos... Bueno, también se nos dice que son redundantes las propuestas de resolución. Bueno, yo tampoco voy a entrar a valorar aquí la cantidad de veces que han traído algunos la misma... las mismas mociones a las Comisiones, a los Plenos, porque si es por entrar en eso... bueno, pues algunas veces se hacen también muy reiterativas las diferentes iniciativas que trasladan aquí diferentes grupos. Dejémoslo... dejémoslo en eso.
Claro, también decía alguno que... que en el Ayuntamiento de Palencia, que está en manos del PSOE. Sí, está en manos del PSOE desde el año veintitrés. Cuando se hizo este informe, que fue en el año veintiuno, quien gobernaba no era el Partido Socialista, era Ciudadanos más el Partido Popular. Por lo tanto, en aquel momento algunos que decían, o que lo decían ahora recientemente, que... que pusiese manos a la obra el Partido Socialista, lo está haciendo ya, y ya está... vamos, corrigiendo no, modificando todo aquello que hizo mal en su día la coalición Ciudadanos-Partido Popular y está poniéndose ya manos a la obra. Pero que quede claro que este informe se elaboró cuando quien gobernaba en el Ayuntamiento de Palencia no era el Partido Socialista, vuelvo a repetir.
Por lo tanto, una vez más ponen en entredicho -bajo mi punto de vista- el trabajo del Consejo de Cuentas, no refrendando y no valorando y poniendo en valor -si vale la expresión también- del propio Consejo de Cuentas; porque, ya digo, que rechazan todas aquellas recomendaciones que, de una manera muy profesional, hacen los diferentes técnicos del Consejo de Cuentas.
No obstante, nosotros seguiremos insistiendo porque creemos en la labor que hace el Consejo de Cuentas, y traemos aquí todas esas recomendaciones que ponen de manifiesto el presidente cada vez que comparece como propuestas de resolución. Lo demás, pues cada uno sabrá qué es lo que tiene que hacer.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Tiene la palabra en... en un turno de réplica, el procurador don José Emilio... Emilio José Berzosa Peña, por un tiempo de cinco minutos.
EL SEÑOR BERZOSA PEÑA:
Muchas gracias, señor presidente. Nada más agradecer sobre todo el trabajo del Consejo de Cuentas, en el que también creemos que hacen un gran trabajo, no solo el propio Consejo, sino también los trabajadores de las diferentes Administraciones a las que se les audita.
La verdad es que es un trabajo extenso y complicado y en el que ha quedado palpable, como decía, la profesionalidad y voluntad de todos los agentes que han participado en él.
Y lo hemos dicho: los ayuntamientos ya se han puesto manos a la obra para dar solución a los problemas detectados; algo que es importante y que es de agradecer. Ello viene precisamente de su autonomía y su potestad para tomar decisiones. Y lo que sí que tenemos claro es que también habrá que tender la mano para ayudar a esos ayuntamientos a que se pongan al nivel de protección correcto y buscar mecanismos para poder llegar a los objetivos marcados lo antes posible. Nada más. Muchas gracias.
Votación propuestas de resolución
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí. Concluido el debate de las propuestas de resolución, vamos a proceder a la votación. Vamos a votar cada uno de los puntos por separado, como no puede ser de otra manera.
Vamos a... en primer lugar, se votan las propuestas de resolución del análisis de la seguridad informática del Ayuntamiento de Burgos. ¿Votos a favor de las propuestas de resolución presentadas por el Partido Socialista? Ocho. ¿Votos en contra? Nueve. Por lo tanto, quedan rechazadas.
Pasemos a la votación de las propuestas de resolución del análisis de seguridad informática del Ayuntamiento de Palencia. ¿Votos a favor? Ocho. ¿Votos en contra? Nueve. Quedan rechazadas.
¿Algún grupo parlamentario quiere explicar su voto, de los que no han intervenido? ¿Ninguno de los dos? Perfecto.
Finalizada la tramitación de estas propuestas de resolución sin haber sido aprobadas ninguna de ellas, esta Presidencia procederá a comunicar a la Presidencia de las Cortes este hecho, a los... a los efectos oportunos y a trasladar el informe de fiscalización sobre en el que se han versado dichas propuestas de resolución.
No habiendo más puntos que tratar, se levanta la sesión. Muchas gracias.
[Se levanta la sesión a las diecisiete horas treinta minutos].
CVE="DSCOM-11-000357"
