La Sindicatura de Comptes considera inaceptable la situación de la gobernanza de la ciberseguridad en las entidades de derecho público y sociedades mercantiles de la Generalitat. Además, habla de una dejadez de responsabilidades por parte de los órganos de gobierno y de dirección. A su juicio, la forma en que se organiza y se controla la seguridad digital no responde a las necesidades de unos servicios que gestionan datos sensibles y recursos económicos relevantes.
El órgano fiscalizador ha analizado las actividades de prevención de incidentes de ciberseguridad en 30 entidades del sector público instrumental de la Generalitat. Tras revisar su funcionamiento, concluye que, en general, no se proporciona una dirección estratégica clara en esta materia ni se garantiza el cumplimiento de unos objetivos de seguridad, cuando estos existen. También advierte de que los riesgos de ciberseguridad no se gestionan de manera adecuada. Por eso, esto deja a estas entidades expuestas frente a ataques o fallos internos.
Solo dos de las treinta entidades estudiadas alcanzan un indicador de madurez de la gobernanza de la ciberseguridad superior al 80 %, umbral que la Sindicatura considera adecuado. Se trata de Infraestructures i Serveis de Telecomunicacions i Certificació, SA (ISTEC), con un 98,5 %, y de Ciudad de las Artes y de las Ciencias (CACSA), con un 86,5 %. Estos resultados muestran que es posible implantar una gestión sólida de la seguridad digital. Sin embargo, por ahora son una excepción dentro del conjunto del sector público analizado.
Mayoría con madurez muy deficiente
En el extremo opuesto, 23 de las entidades evaluadas presentan un índice de madurez inferior al 50 %. Este nivel refleja una situación muy deficiente de la gobernanza de la ciberseguridad, que en algunos casos es prácticamente inexistente. Según la Sindicatura, esto implica que faltan políticas claras, procedimientos documentados y controles internos efectivos, lo que incrementa la probabilidad de sufrir incidentes graves.
La preocupación aumenta porque algunas de estas entidades con baja madurez desarrollan actividades críticas para la ciudadanía o gestionan presupuestos importantes. Cuando no se protege adecuadamente la información ni se planifican respuestas ante incidentes, un ataque informático o una brecha de seguridad puede afectar directamente a la prestación de servicios esenciales y al uso correcto de los fondos públicos. Por ello, la Sindicatura considera especialmente grave la situación de estos organismos.
Dentro del grupo con peores resultados, se identifican entidades de muy pequeño tamaño que, por sí solas, no cuentan con capacidad organizativa suficiente para desplegar una estructura de ciberseguridad completa. El informe subraya que estas organizaciones deberían recibir apoyo de la conselleria a la que están adscritas. De esta forma, se compartiría conocimiento técnico, se unificarían criterios y se centralizarían ciertos recursos para reforzar su protección frente a riesgos digitales.
Bloque intermedio con madurez entre el 50 % y el 80 %
El informe también identifica un bloque intermedio formado por cinco entidades cuyo indicador de madurez se sitúa entre el 50 % y el 80 %. En estos casos, la Sindicatura califica la situación de deficiente. Aunque disponen de algunos elementos de gestión de la ciberseguridad, se detectan carencias importantes. Por ejemplo, la falta de seguimiento sistemático de los riesgos, la ausencia de una planificación integral o la escasa implicación de las direcciones en la supervisión de los sistemas de información.
Consecuencias de un incidente de ciberseguridad
La Sindicatura recuerda que un incidente de ciberseguridad puede tener consecuencias significativas. Entre ellas, menciona la interrupción de servicios críticos, que afecta directamente al funcionamiento de la administración y a los derechos de la ciudadanía. También la pérdida o filtración de información sensible, incluidos datos personales de los ciudadanos; el daño reputacional a las entidades implicadas y posibles consecuencias legales y económicas derivadas del incumplimiento de obligaciones normativas.
Liderazgo y gobernanza
Por estas razones, el órgano fiscalizador sostiene que los órganos superiores de las consellerias a las que están adscritas estas entidades deberían ejercer un liderazgo activo y comprometido en materia de seguridad de la información dentro de su ámbito competencial. Ese liderazgo implica marcar prioridades, exigir planes de acción, destinar recursos suficientes y supervisar el grado de cumplimiento de las medidas implantadas.
La Sindicatura defiende que resulta imprescindible establecer una gobernanza de la ciberseguridad adecuada en todas las entidades de su competencia. Esto supone definir responsabilidades claras, aprobar políticas de seguridad coherentes, evaluar regularmente los riesgos y revisar los sistemas y procedimientos para adaptarlos a la evolución de las amenazas. Sin estos elementos, la administración pública queda expuesta a fallos que pueden comprometer tanto el servicio a la ciudadanía como la confianza en las instituciones.
