DS(C) nº 406/11 del 10/7/2024
1. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio 2022", del Consejo de Cuentas de Castilla y León.
2. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio 2022", del Consejo de Cuentas de Castilla y León.
** Se inicia la sesión a las diecisiete horas.
** El presidente, Sr. Castro Cañibano, abre la sesión.
** Intervención de la procuradora Sra. Pelegrina Cortijo (Grupo Socialista) para comunicar sustituciones.
** Intervención del procurador Sr. Beltrán Martín (Grupo Popular) para comunicar sustituciones.
** Intervención del presidente, Sr. Castro Cañibano, para comunicar que se unifican los dos puntos del orden del día.
** Puntos primero y segundo del orden del día.
** El vicepresidente, Sr. Suárez Arca, da lectura al primer y segundo puntos del orden del día.
** Intervención del procurador Sr. González Reglero (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo en relación con el primer punto del orden del día.
** Intervención del procurador Sr. Campos de la Fuente (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo en relación con el segundo punto del orden del día.
** En turno en contra, interviene el procurador Sr. Teira Lafuente (Grupo VOX Castilla y León) en relación con el segundo punto del orden del día.
** En turno en contra, interviene el procurador Sr. Carrera Noriega (Grupo VOX Castilla y León) en relación con el primer punto del orden del día.
** En turno en contra, interviene el procurador Sr. Beltrán Martín (Grupo Popular).
** En turno de réplica, interviene el procurador Sr. Campos de la Fuente (Grupo Socialista).
** En turno de dúplica, interviene el procurador Sr. Beltrán Martín (Grupo Popular).
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio dos mil veintidós, del Consejo de Cuentas de Castilla y León que han sido debatidas. Son rechazadas.
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio dos mil veintidós, del Consejo de Cuentas de Castilla y León que han sido debatidas. Son rechazadas.
** El presidente, Sr. Castro Cañibano, levanta la sesión.
** Se levanta la sesión a las diecisiete horas treinta minutos.
[Se inicia la sesión a las diecisiete horas].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Buenas tardes, señorías. Se abre la sesión. ¿Algún grupo parlamentario quiere comunicar alguna sustitución? ¿Por el Grupo Parlamentario Socialista?
LA SEÑORA PELEGRINA CORTIJO:
Gracias, presidente. Alicia Palomo sustituye a Rosa Rubio.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
¿El Grupo Parlamentario del Partido Popular?
EL SEÑOR BELTRÁN MARTÍN:
Sí, presidente. Noemí Rojo Sahagún sustituye a Paloma Vallejo Quevedo, José María Sánchez Martín sustituye a Rosa María Esteban Ayuso y Francisco Javier Carpio Guijarro sustituye a Mercedes Cófreces Martín.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Teniendo dos puntos este orden del día, se ha determinado por la Mesa unificarlos en uno en uno solo. Por lo tanto, vamos a ser también suficientemente flexibles en el tiempo para que todo el mundo pueda intervenir.
Dará lectura del primer punto del orden del día y del segundo el señor vicepresidente.
Propuestas de Resolución Informes de Fiscalización
EL VICEPRESIDENTE (SEÑOR SUÁREZ ARCA):
Gracias, señor presidente. Primer punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio dos mil veintidós", del Consejo de Cuentas de Castilla y León.
Y segundo punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio dos mil veintidós", del Consejo de Cuentas de Castilla y León.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Debatido en Comisión el Informe de Fiscalización del Consejo de Cuentas al que se acaba de referir el señor vicepresidente, en relación con el mismo han presentado propuestas de resolución, admitidas a trámite por la Mesa de la Comisión, el Grupo Parlamentario Socialista.
De conformidad con lo establecido en la norma quinta de la Resolución de la Presidencia de las Cortes de Castilla y León de siete de abril del dos mil nueve, para la presentación y defensa de las propuestas de resolución presentadas por el Grupo Parlamentario Socialista, tiene la palabra -como unificamos, tendrá la palabra... que repartan el tiempo como ustedes consideren oportuno- el procurador don Pedro Luis González Reglero y don Javier Campos de la Fuente. Tiene la palabra -repito- diez minutos, pero seremos lo suficientemente flexibles. Gracias.
EL SEÑOR GONZÁLEZ REGLERO:
Sí. Gracias. Presentamos o debatimos en el día de hoy las propuestas de resolución que emanan de las recomendaciones que elaboró en el informe el Consejo de Cuentas relativas al Análisis de la seguridad informática del Ayuntamiento Valladolid del año veintidós (fue cuando se hizo el análisis y se elaboró el informe).
Fue aprobado por el Consejo de Cuentas dicho informe el veintiséis de septiembre del año veintitrés. Compareció el presidente del Consejo de Cuentas para dar cuenta, si... valga la redundancia, de dicho informe en febrero del año veinticuatro, y en julio del año veinticuatro pues debatimos las propuestas de resolución.
La verdad es que, bueno, pues en algunos de los casos lo que siempre venimos diciendo, que desde el año veintidós, que es el informe, se aprueba en el veintitrés y lo debatimos en julio, pues bueno, pues que cada uno saque las propias conclusiones sobre la eficacia y la eficiencia de... de dicho informe y de... y diría que hasta del propio Parlamento.
Las propuestas de resolución ya se debatieron... vamos, el informe en sí ya se debatió cuando fue presentado dicho informe. Por lo tanto, hoy me limitaré a leer textualmente las propuestas de resolución.
La primera es: "Ante los incumplimientos normativos y las deficiencias de carácter técnico que presentan los controles básicos relacionados con la ciberseguridad del Ayuntamiento Valladolid, su alcalde ha de impulsar las actuaciones necesarias para tales incumplimientos y deficiencias. Para ello puede ser de utilidad las guías que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares al de Valladolid que publican organismos como el Centro Criptológico Nacional o la Federación Española de Municipios y Provincias".
Segundo: "El alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada; y para ello deberá, primero, solventar la situación en cuanto a plazas relevantes como son las de responsable de seguridad, con el fin de dar solución a aquellos aspectos técnicos que precisen mejoras y establecer estrategias adecuadas con una diferenciación de responsabilidades que ahora recaen en la misma persona; y la segunda: realizar auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales".
Relativo al entorno tecnológico: "El Ayuntamiento deberá impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información según el modelo general adoptado.
Asimismo, y en relación al entorno tecnológico, el responsable de seguridad que se determine en la política de seguridad debería garantizar que existe documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el departamento de tecnologías de la información. Debe, además, resolverse la situación en cuanto a los roles principales que son necesarios en una organización para una adecuada política de seguridad".
Relativo al inventario y control de activos y el uso controlado de los privilegios administrativos: "Se debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada".
En cuanto al proceso continuo de identificación y corrección de vulnerabilidades: "El responsable de seguridad que se defina en la política de seguridad debería participar, junto al responsable del sistema, en las decisiones que conlleven... que conllevan el empleo de herramientas automatizadas para la detección de vulnerabilidades".
Punto 6: "De acuerdo con lo especificado en el Esquema de Seguridad... Nacional de Seguridad, se debería de impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de Administración".
El punto 7, relativo al cumplimiento normativo, hay tres actuaciones a tener en cuenta. De un lado, "El Pleno del Ayuntamiento deberá seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en los Artículos 11 y 27.4 del Esquema Nacional de Seguridad".
Punto 8. En relación al cumplimiento normativo "se debería requerir al delegado de protección de datos que supervise el cumplimiento del Reglamento General de Protección de Datos, solicitándole su asesoramiento cuando lo considere oportuno".
Punto 9, y último. Hay una tercera actuación en la que al cumplimiento normativo respecta, que debe consistir en la "Aprobación por parte del Pleno del Ayuntamiento de una normativa que garantice que el registro de actividad de los usuarios se realice de acuerdo con lo establecido en el Artículo 23 del Esquema Nacional de Seguridad; en concreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral. Para ello pueden servir de referencia las guías del Centro Criptológico Nacional sobre la seguridad de las tecnologías de la información y las comunicaciones".
Estos son los nueve puntos, que el Grupo Socialista no tiene ninguna esperanza de que vayan a ser aprobados.
EL SEÑOR CAMPOS DE LA FUENTE:
Gracias, presidente. Buenas tardes a todos y a todas. Bien. Compartiendo el turno, aunque en el segundo punto, en este caso hablamos de los controles básicos en ciberseguridad implantados en el Ayuntamiento de Salamanca.
Tras el análisis realizado por el Consejo de Cuentas, se constataban dos cosas: deficiencias de carácter técnica e incumplimientos normativos. Digo que tras este análisis se emitía las recomendaciones preceptivas, que, como de costumbre, pues el Grupo Parlamentario Socialista transformábamos en propuestas de resolución. En este caso son cinco propuestas de resolución derivadas de estas recomendaciones y elevadas al señor alcalde como máxima autoridad de la entidad, en este caso el Ayuntamiento de Salamanca.
En primer lugar, se indicaba que el alcalde debería de impulsar las actuaciones básicas necesarias; y para ello puede seguir las guías detalladas que para la adaptación de ayuntamientos similares el de Salamanca publican organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos.
También, con carácter general, decía que el alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada. Y hablaba de comenzar por la aprobación de una política de seguridad que defina los roles y responsabilidades en materia de seguridad de la información; en dotar al departamento de tecnologías de la información de los recursos materiales y humanos necesarios; y se debería culminar el proceso mediante la realización de auditorías, autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
Con carácter específico, indicaba que, en relación al inventario y control de activos y el uso controlado de privilegios administrativos, el alcalde debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización del software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
Como puntos cuatro y cinco hablaba, en relación al proceso continuo de identificación y corrección de vulnerabilidades, el alcalde debería impulsar la inclusión sistemática en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad.
Y en relación al cumplimiento normativo, el Pleno del ayuntamiento debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de Tecnologías de la Información acorde y que permita cumplir el principio de "seguridad como responsabilidad diferenciada", de acuerdo con lo especificado en los Artículos 11 y 12 del Esquema Nacional de Seguridad.
Esto es lo que advertía y lo que apuntaba el... el señor Amilivia en su comparecencia aquí, en las Cortes de Castilla y León, en esta Comisión, y, como he indicado con anterioridad, es lo que hemos transformado en propuestas de resolución, que esperemos que sean aceptadas, aunque va a ser lo que ha dicho mi compañero don Pedro González Reglero. Gracias, presidente.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Muchas gracias. Abrimos un turno en contra. Tiene... -es un turno compartido- tiene la palabra el representante del Grupo Parlamentario Vox Castilla y León, el procurador... -explicación de voto no, después sería por explicación- el procurador don Javier Bernardo Teira Lafuente.
EL SEÑOR TEIRA LAFUENTE:
Muchas gracias, señor presidente. Buenas tardes, señorías. Señorías del Grupo Socialista, traen a Comisión, bajo la forma de propuestas de resolución, las recomendaciones del informe que tuvimos... que ya tuvimos ocasión de analizar y de valorar.
Antes de pasar a la explicación de nuestra toma de posición, y, por tanto, de nuestro voto, insistiré en nuestra valoración del informe. Como pusimos de relieve en la sesión correspondiente, es importante destacar en el informe que el Ayuntamiento de Salamanca obtuvo una calificación del 79 % en el nivel de madurez media en el índice de cumplimiento global, lo que es señal de que se estaban tomando medidas.
En relación con las recomendaciones, destacamos, en efecto, su relevancia para el fortalecimiento de la seguridad informática y, en particular, la planificación a largo plazo de las necesidades de renovación tecnológica, la inclusión de cláusulas de control en la contratación de servicios informáticos y, muy importante, la potenciación del liderazgo del Pleno del ayuntamiento en la aplicación de políticas de seguridad orientadas a la mejora de la ciberseguridad.
Es decir, como ya dijimos, el informe proporciona una visión clara de la situación y ofrece recomendaciones concretas y valiosas, tal y como usted mismo ha puesto de manifiesto.
En relación con las conclusiones, queremos volver a insistir en la 36 y la 40, relacionadas con las copias de seguridad de datos y sistemas. La 36, relativa al registro de actividad de los usuarios, en función de lo cual el índice de madurez es L3.
Y la conclusión 40, en relación con las pruebas realizadas sobre copias de seguridad, que establece que el proceso de gestión y de inventario y control de los dispositivos físicos alcanza un nivel de madurez L2. Aquí, efectivamente, las necesidades de mejora son mayores.
Entre las recomendaciones, ya llamamos la atención sobre la que establece la necesidad de una estrategia a largo plazo, haciendo hincapié en la necesidad de planificar necesidades, por ejemplo, desde el punto de vista de la renovación de equipos. Y que también es importante la inclusión de cláusulas que permitan controlar los distintos servicios contratados.
Hasta aquí, muy sucintamente, el resumen de nuestra valoración del informe. Vamos ahora con el objeto de esta tarde, con las propuestas de resolución. Y, para comenzar, voy a recordar los objetivos del informe, que son:
Uno, proporcionar evaluación sobre el diseño y la eficiencia operativa de los controles básicos de ciberseguridad, cosa que el informe resolvió cumplidamente, como se puso de manifiesto en su momento, e insistimos hoy.
Y, en segundo lugar, proporcionar al ente auditado información relevante sobre su grado de ciberseguridad y de su capacidad para continuar con la actividad en caso de producirse un ataque, así como una propuesta sobre posibles acciones de mejoras.
Es decir, el objetivo del informe es identificar las deficiencias y proporcionar esta información al ente auditado y aconsejarle las medidas correspondientes, cosa que ya tiene lugar en las conclusiones y en las recomendaciones del informe.
De lo que se trata aquí, por tanto, no es de insistir en una potencialidad coercitiva desde el punto de... desde nuestro punto de vista sobre el ente auditado, sino, simplemente, de confirmar la pertinencia de las recomendaciones y de esperar, conforme es previsto, que el Ayuntamiento de Salamanca pues cumpla con las recomendaciones, como, por otra parte, tenemos constancia de que está en camino de hacerlo. Por tanto, es el momento de la autonomía municipal y de... y de dejar que surta efecto el magnífico trabajo de la auditoría por parte del Consejo de Cuentas.
Por consiguiente, señorías, consideramos innecesaria su propuesta y votaremos en contra. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En representación del Grupo Parlamentario Popular, tiene la palabra el procurador don David Beltrán Martín.
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Señorías...
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Perdón. Entendí que iba a hablar... Perdón. [Murmullos]. Vale. Correcto, pero le sigo diciendo que tiene un turno compartido, no... con el PP les digo. Tiene la palabra, para finalizar la intervención, Francisco Javier Carrera Noriega.
EL SEÑOR CARRERA NORIEGA:
Únicamente... únicamente por hacer alusión al informe de Valladolid, el del Ayuntamiento de Valladolid, exclusivamente, pero vamos... [Murmullos].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Cuando hemos dicho que íbamos a ser lo suficientemente flexible para que pudieran intervenir todos, agrupábamos los dos y que interviniesen... en el Grupo Popular interviene solo uno; por Vox, intervenían dos. Yo creo que para simplificar un poco el debate, pues lo unificamos.
EL SEÑOR CARRERA NORIEGA:
Nada, pues muy rápidamente. Únicamente recordar que las circunstancias del Ayuntamiento de Valladolid eran... que transmitían el informe eran realmente... manifestaban una impresión bastante penosa de cuál era la situación del Ayuntamiento de Valladolid.
Y que las propuestas de resolución que plantea el Partido Socialista, en cuanto que son las mismas que establecía las recomendaciones del Consejo de Cuentas, y en función de la autonomía municipal, damos la confianza al ayuntamiento de que pueda llevar a cabo aquellas labores necesarias para resolver una situación que se estaba convirtiendo en bastante compleja y complicada por cuanto que no cumplía ni siquiera con el aprobado. Nada más. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Bueno, le pido disculpas. Ahora sí, tiene la palabra, en representación del Grupo Parlamentario Popular, el procurador don David Beltrán Martín.
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Señorías. Los informes del Consejo de Cuentas no son vinculantes, pero sí necesarios. Pero siempre, como hemos dicho en otras ocasiones, se debe respetar la autonomía local o municipal porque fortalece la democracia al descentralizar el poder y fomenta un Gobierno más cercano y transparente, siendo un pilar fundamental de nuestro sistema protegido por la Constitución.
Eso no quita que no se tengan que establecer las medidas y procedimientos necesarios para implantar de forma efectiva los controles básicos de ciberseguridad y el grado de efectividad que alcanzan tanto en el Ayuntamiento de Valladolid como el de Salamanca, pues en los nuevos tiempos es necesaria la seguridad en cualquier tramitación telemática, con las necesarias medidas de ciberseguridad.
Pues bien, de aquellas auditorías operativas del Consejo de Cuentas se desprendió que Ayuntamientos como el de Valladolid o Salamanca deben de disponer de una estructura de tecnologías de la información y de las comunicaciones, TIC, de cierta complejidad por su tamaño y presupuesto.
Los datos que se analizaron por el Consejo de Cuentas arrojaron diez recomendaciones para el Ayuntamiento de Valladolid, que se han traducido en nueve propuestas de resolución, que ahora debatimos, y cinco para el Ayuntamiento de Salamanca.
Es bueno recordar que, con respecto al Ayuntamiento de Valladolid, destacó el Consejo en su informe que, a pesar de mantener una actitud de colaboración -por supuesto también el Ayuntamiento de Salamanca-, faltan controles más eficientes de ciberseguridad. El proceso existe pero no se gestiona del todo bien, el enfoque general de gestión no es organizado y la organización no proporciona un entorno estable, recomendando una planificación a largo plazo de las necesidades de renovación tecnológica de sus dispositivos, componentes y programas para reforzar su seguridad informática.
Y es bueno recordar algunas conclusiones, que principalmente se dirigían a problemas de diseño o de inversión en medios humanos y materiales en el informe. Aquí ha dicho muy bien el señor Teira que el nivel alcanzado de madurez del Ayuntamiento de Valladolid es del 67 % sobre el objetivo del 80 que se marcaba en el Informe de Fiscalización del Consejo de Cuentas.
Y quisiera concluir esta parte de mi exposición sobre el Ayuntamiento de Valladolid destacando algo importante que hace que este informe, aquel informe, aunque... aunque se emitiera en dos mil veintidós, se debatiera en el dos mil veintitrés y ahora estemos analizando las propuestas de resolución o aquellas recomendaciones del Consejo de Cuentas hoy, en dos mil veinticuatro, sí que es eficaz y sí que es eficiente. Y lo prueba el Ayuntamiento de Valladolid, sobre todo porque el nuevo Equipo de Gobierno del Ayuntamiento de Valladolid ha aceptado las diez recomendaciones efectuadas por el Consejo de Cuentas, siendo consciente de las carencias y deficiencias recogidas en esas propuestas de resolución presentadas, que los ha llevado a crear una Concejalía específica de Modernización Administrativa -así se denomina-, que será la encargada de actualizar y dar respuesta a los problemas encontrados en este área, dada la enorme importancia y repercusión que tiene para todos los administrados y dentro de la autonomía municipal, como manifesté al principio.
Y ahora, centrándome en el Ayuntamiento de Salamanca, destacar que ha obtenido la mejor calificación entre los ayuntamientos auditados hasta la fecha, con un índice de cumplimiento global del 79 % sobre el objetivo del 80 % que se marcaba la fiscalización del Consejo de Cuentas, lo que confirma que desarrollan un proceso bien definido y estandarizado en política de seguridad informática; con un sistema adecuado de protección perimetral y de su red corporativa; teniendo contratado incluso un servicio de operaciones de ciberseguridad para el control de vulnerabilidades y gestión de actividades realizadas por usuarios administradores; y realizando un proceso de configuración segura, pues se han implantado medidas para dificultar que los usuarios puedan cambiar la configuración de sus equipos, sin olvidar que el proceso de adaptación a la normativa en protección de datos está avanzado en este Ayuntamiento de Salamanca, pues creó un órgano propio para la protección de datos; y además realiza un análisis de riesgos y auditorías anuales del registro contable de facturas.
Dicho lo cual, yo creo que el Ayuntamiento de Salamanca es un ejemplo modelo a seguir, pero no quita que tenga algunas carencias, que son las propuestas de resolución planteadas y leídas por el señor Carpio de... Carpio de la Fuente, para que este ayuntamiento y el de Valladolid pues mejoren en materia de ciberseguridad.
Yo voy a concluir diciendo que siempre, como dije antes, hay que respetar esa autonomía local, por lo que nuestro voto será en contra. Y que la finalidad de estos informes de auditoría del Consejo de Cuentas es promover un cambio positivo, que parece que lo ha conseguido, como he demostrado en el Ayuntamiento de Valladolid. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Concluido el debate de las propuestas de resolución, vamos a proceder a la votación. Primero votamos por... el análisis de seguridad del Ayuntamiento de Valladolid en el ejercicio de dos mil veintidós... [Murmullos].
Tiene la palabra, para un turno de réplica, el portavoz -¿cuál de los dos?, ¿los dos?- don Javier Campos de la Fuente.
EL SEÑOR CAMPOS DE LA FUENTE:
Gracias, presidente. Muy brevemente. Es simplemente para, bueno, dejar constancia de una observación, y es muy sencilla. Dice el portavoz del Partido Popular que estos informes no son vinculantes. Efectivamente, no son vinculantes. De todas formas, en esta... lo derivado de estas Cortes de Castilla y León a veces no es vinculante nada, sobre todo para el... para el Ejecutivo.
Pero, aparte de eso, sí me gustaría simplemente indicar que es muy distinto el discurso que ustedes emplean con el análisis de las propuestas que nosotros hacemos de resolución con el análisis que ustedes hacen en presencia del señor Amilivia cuando él expone sus informes y cuando habla de sus conclusiones. Probablemente tendrían que tener un poco más de coherencia a la hora de conjugar las dos... las dos intervenciones. Nada más, presidente. Gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí que procedemos a... El guion pone lo que pone; uno puede ser todo lo flexible, pero vamos a intentar establecerlo previamente antes de la... de los debates... [Murmullos]. Bueno, intentamos ceñirnos un poco al asunto.
Tiene la palabra, en turno de réplica, ¿Vox?, ¿Partido Popular?
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Muy breve. He dicho que no son vinculantes, pero sí necesarios estos informes. La coherencia es total porque está basado en las mismas intervenciones que hicimos cuando los presentó el señor Amilivia.
Y quiero dejar muy claro que las recomendaciones del Consejo de Cuentas son fundamentales, además, a la hora de servir de guía y acicate a los ayuntamientos auditados. Y lo mejor de todo es que pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática, algo que me parece muy importante, destacando el ejemplo y modelo, como dije antes, del Ayuntamiento de Salamanca y del Ayuntamiento de Valladolid. Muchas gracias.
Votación propuestas de resolución
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí que sí vamos a votar. Votamos el primer orden del punto del día, ayuntamientos... seguridad informática del Ayuntamiento de Valladolid, año dos mil veintidós. ¿Votos a favor? Siete. ¿Votos en contra? Diez. Por lo tanto, quedan rechazadas las propuestas de resolución que se acaban de votar. Siete votos a favor, diez en contra. Rechazados.
Procedemos a votar el segundo punto del orden del día, seguridad informática del Ayuntamiento de Salamanca en el ejercicio dos mil veintidós. ¿Votos a favor? Siete. ¿Votos en contra? Diez. Por lo tanto, quedan rechazadas las propuestas de resolución presentadas.
Quedando rechazadas, finalizada la tramitación de estas propuestas de resolución sin haber sido aprobadas ninguna de ellas, esta Presidencia procederá a comunicar al presidente de las Cortes este hecho a los efectos oportunos y a trasladar el informe de fiscalización sobre el que se han versado dichas propuestas de resolución.
Señorías, finalizado el debate -que tengan ustedes un buen verano-, se levanta la sesión. Gracias.
[Se levanta la sesión a las diecisiete horas treinta minutos].
DS(C) nº 406/11 del 10/7/2024
CVE="DSCOM-11-000406"
Diario de Sesiones de las Cortes de Castilla y León
XI Legislatura
Comisión de Economía y Hacienda
DS(C) nº 406/11 del 10/7/2024
CVE: DSCOM-11-000406
DS(C) nº 406/11 del 10/7/2024. Comisión de Economía y Hacienda
Sesión Celebrada el día 10 de julio de 2024, en Valladolid
Bajo la Presidencia de: José Alberto Castro Cañibano
Pags. 17194-17204
ORDEN DEL DÍA:
1. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio 2022", del Consejo de Cuentas de Castilla y León.
2. Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio 2022", del Consejo de Cuentas de Castilla y León.
SUMARIO:
** Se inicia la sesión a las diecisiete horas.
** El presidente, Sr. Castro Cañibano, abre la sesión.
** Intervención de la procuradora Sra. Pelegrina Cortijo (Grupo Socialista) para comunicar sustituciones.
** Intervención del procurador Sr. Beltrán Martín (Grupo Popular) para comunicar sustituciones.
** Intervención del presidente, Sr. Castro Cañibano, para comunicar que se unifican los dos puntos del orden del día.
** Puntos primero y segundo del orden del día.
** El vicepresidente, Sr. Suárez Arca, da lectura al primer y segundo puntos del orden del día.
** Intervención del procurador Sr. González Reglero (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo en relación con el primer punto del orden del día.
** Intervención del procurador Sr. Campos de la Fuente (Grupo Socialista) para la defensa de las propuestas de resolución presentadas por su grupo en relación con el segundo punto del orden del día.
** En turno en contra, interviene el procurador Sr. Teira Lafuente (Grupo VOX Castilla y León) en relación con el segundo punto del orden del día.
** En turno en contra, interviene el procurador Sr. Carrera Noriega (Grupo VOX Castilla y León) en relación con el primer punto del orden del día.
** En turno en contra, interviene el procurador Sr. Beltrán Martín (Grupo Popular).
** En turno de réplica, interviene el procurador Sr. Campos de la Fuente (Grupo Socialista).
** En turno de dúplica, interviene el procurador Sr. Beltrán Martín (Grupo Popular).
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio dos mil veintidós, del Consejo de Cuentas de Castilla y León que han sido debatidas. Son rechazadas.
** El presidente, Sr. Castro Cañibano, somete a votación las propuestas de resolución referidas al Informe de Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio dos mil veintidós, del Consejo de Cuentas de Castilla y León que han sido debatidas. Son rechazadas.
** El presidente, Sr. Castro Cañibano, levanta la sesión.
** Se levanta la sesión a las diecisiete horas treinta minutos.
TEXTO:
[Se inicia la sesión a las diecisiete horas].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Buenas tardes, señorías. Se abre la sesión. ¿Algún grupo parlamentario quiere comunicar alguna sustitución? ¿Por el Grupo Parlamentario Socialista?
LA SEÑORA PELEGRINA CORTIJO:
Gracias, presidente. Alicia Palomo sustituye a Rosa Rubio.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
¿El Grupo Parlamentario del Partido Popular?
EL SEÑOR BELTRÁN MARTÍN:
Sí, presidente. Noemí Rojo Sahagún sustituye a Paloma Vallejo Quevedo, José María Sánchez Martín sustituye a Rosa María Esteban Ayuso y Francisco Javier Carpio Guijarro sustituye a Mercedes Cófreces Martín.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Teniendo dos puntos este orden del día, se ha determinado por la Mesa unificarlos en uno en uno solo. Por lo tanto, vamos a ser también suficientemente flexibles en el tiempo para que todo el mundo pueda intervenir.
Dará lectura del primer punto del orden del día y del segundo el señor vicepresidente.
Propuestas de Resolución Informes de Fiscalización
EL VICEPRESIDENTE (SEÑOR SUÁREZ ARCA):
Gracias, señor presidente. Primer punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio dos mil veintidós", del Consejo de Cuentas de Castilla y León.
Y segundo punto del orden del día: Debate y votación de las propuestas de resolución admitidas a trámite en relación con el Informe de "Análisis de la seguridad informática del Ayuntamiento de Salamanca, ejercicio dos mil veintidós", del Consejo de Cuentas de Castilla y León.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Debatido en Comisión el Informe de Fiscalización del Consejo de Cuentas al que se acaba de referir el señor vicepresidente, en relación con el mismo han presentado propuestas de resolución, admitidas a trámite por la Mesa de la Comisión, el Grupo Parlamentario Socialista.
De conformidad con lo establecido en la norma quinta de la Resolución de la Presidencia de las Cortes de Castilla y León de siete de abril del dos mil nueve, para la presentación y defensa de las propuestas de resolución presentadas por el Grupo Parlamentario Socialista, tiene la palabra -como unificamos, tendrá la palabra... que repartan el tiempo como ustedes consideren oportuno- el procurador don Pedro Luis González Reglero y don Javier Campos de la Fuente. Tiene la palabra -repito- diez minutos, pero seremos lo suficientemente flexibles. Gracias.
EL SEÑOR GONZÁLEZ REGLERO:
Sí. Gracias. Presentamos o debatimos en el día de hoy las propuestas de resolución que emanan de las recomendaciones que elaboró en el informe el Consejo de Cuentas relativas al Análisis de la seguridad informática del Ayuntamiento Valladolid del año veintidós (fue cuando se hizo el análisis y se elaboró el informe).
Fue aprobado por el Consejo de Cuentas dicho informe el veintiséis de septiembre del año veintitrés. Compareció el presidente del Consejo de Cuentas para dar cuenta, si... valga la redundancia, de dicho informe en febrero del año veinticuatro, y en julio del año veinticuatro pues debatimos las propuestas de resolución.
La verdad es que, bueno, pues en algunos de los casos lo que siempre venimos diciendo, que desde el año veintidós, que es el informe, se aprueba en el veintitrés y lo debatimos en julio, pues bueno, pues que cada uno saque las propias conclusiones sobre la eficacia y la eficiencia de... de dicho informe y de... y diría que hasta del propio Parlamento.
Las propuestas de resolución ya se debatieron... vamos, el informe en sí ya se debatió cuando fue presentado dicho informe. Por lo tanto, hoy me limitaré a leer textualmente las propuestas de resolución.
La primera es: "Ante los incumplimientos normativos y las deficiencias de carácter técnico que presentan los controles básicos relacionados con la ciberseguridad del Ayuntamiento Valladolid, su alcalde ha de impulsar las actuaciones necesarias para tales incumplimientos y deficiencias. Para ello puede ser de utilidad las guías que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares al de Valladolid que publican organismos como el Centro Criptológico Nacional o la Federación Española de Municipios y Provincias".
Segundo: "El alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada; y para ello deberá, primero, solventar la situación en cuanto a plazas relevantes como son las de responsable de seguridad, con el fin de dar solución a aquellos aspectos técnicos que precisen mejoras y establecer estrategias adecuadas con una diferenciación de responsabilidades que ahora recaen en la misma persona; y la segunda: realizar auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales".
Relativo al entorno tecnológico: "El Ayuntamiento deberá impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información según el modelo general adoptado.
Asimismo, y en relación al entorno tecnológico, el responsable de seguridad que se determine en la política de seguridad debería garantizar que existe documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el departamento de tecnologías de la información. Debe, además, resolverse la situación en cuanto a los roles principales que son necesarios en una organización para una adecuada política de seguridad".
Relativo al inventario y control de activos y el uso controlado de los privilegios administrativos: "Se debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada".
En cuanto al proceso continuo de identificación y corrección de vulnerabilidades: "El responsable de seguridad que se defina en la política de seguridad debería participar, junto al responsable del sistema, en las decisiones que conlleven... que conllevan el empleo de herramientas automatizadas para la detección de vulnerabilidades".
Punto 6: "De acuerdo con lo especificado en el Esquema de Seguridad... Nacional de Seguridad, se debería de impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de Administración".
El punto 7, relativo al cumplimiento normativo, hay tres actuaciones a tener en cuenta. De un lado, "El Pleno del Ayuntamiento deberá seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en los Artículos 11 y 27.4 del Esquema Nacional de Seguridad".
Punto 8. En relación al cumplimiento normativo "se debería requerir al delegado de protección de datos que supervise el cumplimiento del Reglamento General de Protección de Datos, solicitándole su asesoramiento cuando lo considere oportuno".
Punto 9, y último. Hay una tercera actuación en la que al cumplimiento normativo respecta, que debe consistir en la "Aprobación por parte del Pleno del Ayuntamiento de una normativa que garantice que el registro de actividad de los usuarios se realice de acuerdo con lo establecido en el Artículo 23 del Esquema Nacional de Seguridad; en concreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral. Para ello pueden servir de referencia las guías del Centro Criptológico Nacional sobre la seguridad de las tecnologías de la información y las comunicaciones".
Estos son los nueve puntos, que el Grupo Socialista no tiene ninguna esperanza de que vayan a ser aprobados.
EL SEÑOR CAMPOS DE LA FUENTE:
Gracias, presidente. Buenas tardes a todos y a todas. Bien. Compartiendo el turno, aunque en el segundo punto, en este caso hablamos de los controles básicos en ciberseguridad implantados en el Ayuntamiento de Salamanca.
Tras el análisis realizado por el Consejo de Cuentas, se constataban dos cosas: deficiencias de carácter técnica e incumplimientos normativos. Digo que tras este análisis se emitía las recomendaciones preceptivas, que, como de costumbre, pues el Grupo Parlamentario Socialista transformábamos en propuestas de resolución. En este caso son cinco propuestas de resolución derivadas de estas recomendaciones y elevadas al señor alcalde como máxima autoridad de la entidad, en este caso el Ayuntamiento de Salamanca.
En primer lugar, se indicaba que el alcalde debería de impulsar las actuaciones básicas necesarias; y para ello puede seguir las guías detalladas que para la adaptación de ayuntamientos similares el de Salamanca publican organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos.
También, con carácter general, decía que el alcalde debería asumir y promover un compromiso firme por parte del Pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada. Y hablaba de comenzar por la aprobación de una política de seguridad que defina los roles y responsabilidades en materia de seguridad de la información; en dotar al departamento de tecnologías de la información de los recursos materiales y humanos necesarios; y se debería culminar el proceso mediante la realización de auditorías, autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
Con carácter específico, indicaba que, en relación al inventario y control de activos y el uso controlado de privilegios administrativos, el alcalde debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización del software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
Como puntos cuatro y cinco hablaba, en relación al proceso continuo de identificación y corrección de vulnerabilidades, el alcalde debería impulsar la inclusión sistemática en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de la Administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad.
Y en relación al cumplimiento normativo, el Pleno del ayuntamiento debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de Tecnologías de la Información acorde y que permita cumplir el principio de "seguridad como responsabilidad diferenciada", de acuerdo con lo especificado en los Artículos 11 y 12 del Esquema Nacional de Seguridad.
Esto es lo que advertía y lo que apuntaba el... el señor Amilivia en su comparecencia aquí, en las Cortes de Castilla y León, en esta Comisión, y, como he indicado con anterioridad, es lo que hemos transformado en propuestas de resolución, que esperemos que sean aceptadas, aunque va a ser lo que ha dicho mi compañero don Pedro González Reglero. Gracias, presidente.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Muchas gracias. Abrimos un turno en contra. Tiene... -es un turno compartido- tiene la palabra el representante del Grupo Parlamentario Vox Castilla y León, el procurador... -explicación de voto no, después sería por explicación- el procurador don Javier Bernardo Teira Lafuente.
EL SEÑOR TEIRA LAFUENTE:
Muchas gracias, señor presidente. Buenas tardes, señorías. Señorías del Grupo Socialista, traen a Comisión, bajo la forma de propuestas de resolución, las recomendaciones del informe que tuvimos... que ya tuvimos ocasión de analizar y de valorar.
Antes de pasar a la explicación de nuestra toma de posición, y, por tanto, de nuestro voto, insistiré en nuestra valoración del informe. Como pusimos de relieve en la sesión correspondiente, es importante destacar en el informe que el Ayuntamiento de Salamanca obtuvo una calificación del 79 % en el nivel de madurez media en el índice de cumplimiento global, lo que es señal de que se estaban tomando medidas.
En relación con las recomendaciones, destacamos, en efecto, su relevancia para el fortalecimiento de la seguridad informática y, en particular, la planificación a largo plazo de las necesidades de renovación tecnológica, la inclusión de cláusulas de control en la contratación de servicios informáticos y, muy importante, la potenciación del liderazgo del Pleno del ayuntamiento en la aplicación de políticas de seguridad orientadas a la mejora de la ciberseguridad.
Es decir, como ya dijimos, el informe proporciona una visión clara de la situación y ofrece recomendaciones concretas y valiosas, tal y como usted mismo ha puesto de manifiesto.
En relación con las conclusiones, queremos volver a insistir en la 36 y la 40, relacionadas con las copias de seguridad de datos y sistemas. La 36, relativa al registro de actividad de los usuarios, en función de lo cual el índice de madurez es L3.
Y la conclusión 40, en relación con las pruebas realizadas sobre copias de seguridad, que establece que el proceso de gestión y de inventario y control de los dispositivos físicos alcanza un nivel de madurez L2. Aquí, efectivamente, las necesidades de mejora son mayores.
Entre las recomendaciones, ya llamamos la atención sobre la que establece la necesidad de una estrategia a largo plazo, haciendo hincapié en la necesidad de planificar necesidades, por ejemplo, desde el punto de vista de la renovación de equipos. Y que también es importante la inclusión de cláusulas que permitan controlar los distintos servicios contratados.
Hasta aquí, muy sucintamente, el resumen de nuestra valoración del informe. Vamos ahora con el objeto de esta tarde, con las propuestas de resolución. Y, para comenzar, voy a recordar los objetivos del informe, que son:
Uno, proporcionar evaluación sobre el diseño y la eficiencia operativa de los controles básicos de ciberseguridad, cosa que el informe resolvió cumplidamente, como se puso de manifiesto en su momento, e insistimos hoy.
Y, en segundo lugar, proporcionar al ente auditado información relevante sobre su grado de ciberseguridad y de su capacidad para continuar con la actividad en caso de producirse un ataque, así como una propuesta sobre posibles acciones de mejoras.
Es decir, el objetivo del informe es identificar las deficiencias y proporcionar esta información al ente auditado y aconsejarle las medidas correspondientes, cosa que ya tiene lugar en las conclusiones y en las recomendaciones del informe.
De lo que se trata aquí, por tanto, no es de insistir en una potencialidad coercitiva desde el punto de... desde nuestro punto de vista sobre el ente auditado, sino, simplemente, de confirmar la pertinencia de las recomendaciones y de esperar, conforme es previsto, que el Ayuntamiento de Salamanca pues cumpla con las recomendaciones, como, por otra parte, tenemos constancia de que está en camino de hacerlo. Por tanto, es el momento de la autonomía municipal y de... y de dejar que surta efecto el magnífico trabajo de la auditoría por parte del Consejo de Cuentas.
Por consiguiente, señorías, consideramos innecesaria su propuesta y votaremos en contra. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
En representación del Grupo Parlamentario Popular, tiene la palabra el procurador don David Beltrán Martín.
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Señorías...
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Perdón. Entendí que iba a hablar... Perdón. [Murmullos]. Vale. Correcto, pero le sigo diciendo que tiene un turno compartido, no... con el PP les digo. Tiene la palabra, para finalizar la intervención, Francisco Javier Carrera Noriega.
EL SEÑOR CARRERA NORIEGA:
Únicamente... únicamente por hacer alusión al informe de Valladolid, el del Ayuntamiento de Valladolid, exclusivamente, pero vamos... [Murmullos].
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Cuando hemos dicho que íbamos a ser lo suficientemente flexible para que pudieran intervenir todos, agrupábamos los dos y que interviniesen... en el Grupo Popular interviene solo uno; por Vox, intervenían dos. Yo creo que para simplificar un poco el debate, pues lo unificamos.
EL SEÑOR CARRERA NORIEGA:
Nada, pues muy rápidamente. Únicamente recordar que las circunstancias del Ayuntamiento de Valladolid eran... que transmitían el informe eran realmente... manifestaban una impresión bastante penosa de cuál era la situación del Ayuntamiento de Valladolid.
Y que las propuestas de resolución que plantea el Partido Socialista, en cuanto que son las mismas que establecía las recomendaciones del Consejo de Cuentas, y en función de la autonomía municipal, damos la confianza al ayuntamiento de que pueda llevar a cabo aquellas labores necesarias para resolver una situación que se estaba convirtiendo en bastante compleja y complicada por cuanto que no cumplía ni siquiera con el aprobado. Nada más. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Bueno, le pido disculpas. Ahora sí, tiene la palabra, en representación del Grupo Parlamentario Popular, el procurador don David Beltrán Martín.
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Señorías. Los informes del Consejo de Cuentas no son vinculantes, pero sí necesarios. Pero siempre, como hemos dicho en otras ocasiones, se debe respetar la autonomía local o municipal porque fortalece la democracia al descentralizar el poder y fomenta un Gobierno más cercano y transparente, siendo un pilar fundamental de nuestro sistema protegido por la Constitución.
Eso no quita que no se tengan que establecer las medidas y procedimientos necesarios para implantar de forma efectiva los controles básicos de ciberseguridad y el grado de efectividad que alcanzan tanto en el Ayuntamiento de Valladolid como el de Salamanca, pues en los nuevos tiempos es necesaria la seguridad en cualquier tramitación telemática, con las necesarias medidas de ciberseguridad.
Pues bien, de aquellas auditorías operativas del Consejo de Cuentas se desprendió que Ayuntamientos como el de Valladolid o Salamanca deben de disponer de una estructura de tecnologías de la información y de las comunicaciones, TIC, de cierta complejidad por su tamaño y presupuesto.
Los datos que se analizaron por el Consejo de Cuentas arrojaron diez recomendaciones para el Ayuntamiento de Valladolid, que se han traducido en nueve propuestas de resolución, que ahora debatimos, y cinco para el Ayuntamiento de Salamanca.
Es bueno recordar que, con respecto al Ayuntamiento de Valladolid, destacó el Consejo en su informe que, a pesar de mantener una actitud de colaboración -por supuesto también el Ayuntamiento de Salamanca-, faltan controles más eficientes de ciberseguridad. El proceso existe pero no se gestiona del todo bien, el enfoque general de gestión no es organizado y la organización no proporciona un entorno estable, recomendando una planificación a largo plazo de las necesidades de renovación tecnológica de sus dispositivos, componentes y programas para reforzar su seguridad informática.
Y es bueno recordar algunas conclusiones, que principalmente se dirigían a problemas de diseño o de inversión en medios humanos y materiales en el informe. Aquí ha dicho muy bien el señor Teira que el nivel alcanzado de madurez del Ayuntamiento de Valladolid es del 67 % sobre el objetivo del 80 que se marcaba en el Informe de Fiscalización del Consejo de Cuentas.
Y quisiera concluir esta parte de mi exposición sobre el Ayuntamiento de Valladolid destacando algo importante que hace que este informe, aquel informe, aunque... aunque se emitiera en dos mil veintidós, se debatiera en el dos mil veintitrés y ahora estemos analizando las propuestas de resolución o aquellas recomendaciones del Consejo de Cuentas hoy, en dos mil veinticuatro, sí que es eficaz y sí que es eficiente. Y lo prueba el Ayuntamiento de Valladolid, sobre todo porque el nuevo Equipo de Gobierno del Ayuntamiento de Valladolid ha aceptado las diez recomendaciones efectuadas por el Consejo de Cuentas, siendo consciente de las carencias y deficiencias recogidas en esas propuestas de resolución presentadas, que los ha llevado a crear una Concejalía específica de Modernización Administrativa -así se denomina-, que será la encargada de actualizar y dar respuesta a los problemas encontrados en este área, dada la enorme importancia y repercusión que tiene para todos los administrados y dentro de la autonomía municipal, como manifesté al principio.
Y ahora, centrándome en el Ayuntamiento de Salamanca, destacar que ha obtenido la mejor calificación entre los ayuntamientos auditados hasta la fecha, con un índice de cumplimiento global del 79 % sobre el objetivo del 80 % que se marcaba la fiscalización del Consejo de Cuentas, lo que confirma que desarrollan un proceso bien definido y estandarizado en política de seguridad informática; con un sistema adecuado de protección perimetral y de su red corporativa; teniendo contratado incluso un servicio de operaciones de ciberseguridad para el control de vulnerabilidades y gestión de actividades realizadas por usuarios administradores; y realizando un proceso de configuración segura, pues se han implantado medidas para dificultar que los usuarios puedan cambiar la configuración de sus equipos, sin olvidar que el proceso de adaptación a la normativa en protección de datos está avanzado en este Ayuntamiento de Salamanca, pues creó un órgano propio para la protección de datos; y además realiza un análisis de riesgos y auditorías anuales del registro contable de facturas.
Dicho lo cual, yo creo que el Ayuntamiento de Salamanca es un ejemplo modelo a seguir, pero no quita que tenga algunas carencias, que son las propuestas de resolución planteadas y leídas por el señor Carpio de... Carpio de la Fuente, para que este ayuntamiento y el de Valladolid pues mejoren en materia de ciberseguridad.
Yo voy a concluir diciendo que siempre, como dije antes, hay que respetar esa autonomía local, por lo que nuestro voto será en contra. Y que la finalidad de estos informes de auditoría del Consejo de Cuentas es promover un cambio positivo, que parece que lo ha conseguido, como he demostrado en el Ayuntamiento de Valladolid. Muchas gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Concluido el debate de las propuestas de resolución, vamos a proceder a la votación. Primero votamos por... el análisis de seguridad del Ayuntamiento de Valladolid en el ejercicio de dos mil veintidós... [Murmullos].
Tiene la palabra, para un turno de réplica, el portavoz -¿cuál de los dos?, ¿los dos?- don Javier Campos de la Fuente.
EL SEÑOR CAMPOS DE LA FUENTE:
Gracias, presidente. Muy brevemente. Es simplemente para, bueno, dejar constancia de una observación, y es muy sencilla. Dice el portavoz del Partido Popular que estos informes no son vinculantes. Efectivamente, no son vinculantes. De todas formas, en esta... lo derivado de estas Cortes de Castilla y León a veces no es vinculante nada, sobre todo para el... para el Ejecutivo.
Pero, aparte de eso, sí me gustaría simplemente indicar que es muy distinto el discurso que ustedes emplean con el análisis de las propuestas que nosotros hacemos de resolución con el análisis que ustedes hacen en presencia del señor Amilivia cuando él expone sus informes y cuando habla de sus conclusiones. Probablemente tendrían que tener un poco más de coherencia a la hora de conjugar las dos... las dos intervenciones. Nada más, presidente. Gracias.
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí que procedemos a... El guion pone lo que pone; uno puede ser todo lo flexible, pero vamos a intentar establecerlo previamente antes de la... de los debates... [Murmullos]. Bueno, intentamos ceñirnos un poco al asunto.
Tiene la palabra, en turno de réplica, ¿Vox?, ¿Partido Popular?
EL SEÑOR BELTRÁN MARTÍN:
Muchas gracias, presidente. Muy breve. He dicho que no son vinculantes, pero sí necesarios estos informes. La coherencia es total porque está basado en las mismas intervenciones que hicimos cuando los presentó el señor Amilivia.
Y quiero dejar muy claro que las recomendaciones del Consejo de Cuentas son fundamentales, además, a la hora de servir de guía y acicate a los ayuntamientos auditados. Y lo mejor de todo es que pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática, algo que me parece muy importante, destacando el ejemplo y modelo, como dije antes, del Ayuntamiento de Salamanca y del Ayuntamiento de Valladolid. Muchas gracias.
Votación propuestas de resolución
EL PRESIDENTE (SEÑOR CASTRO CAÑIBANO):
Ahora sí que sí vamos a votar. Votamos el primer orden del punto del día, ayuntamientos... seguridad informática del Ayuntamiento de Valladolid, año dos mil veintidós. ¿Votos a favor? Siete. ¿Votos en contra? Diez. Por lo tanto, quedan rechazadas las propuestas de resolución que se acaban de votar. Siete votos a favor, diez en contra. Rechazados.
Procedemos a votar el segundo punto del orden del día, seguridad informática del Ayuntamiento de Salamanca en el ejercicio dos mil veintidós. ¿Votos a favor? Siete. ¿Votos en contra? Diez. Por lo tanto, quedan rechazadas las propuestas de resolución presentadas.
Quedando rechazadas, finalizada la tramitación de estas propuestas de resolución sin haber sido aprobadas ninguna de ellas, esta Presidencia procederá a comunicar al presidente de las Cortes este hecho a los efectos oportunos y a trasladar el informe de fiscalización sobre el que se han versado dichas propuestas de resolución.
Señorías, finalizado el debate -que tengan ustedes un buen verano-, se levanta la sesión. Gracias.
[Se levanta la sesión a las diecisiete horas treinta minutos].
CVE="DSCOM-11-000406"
