- Formació AOC
- Innovació
Inscriu-te a la formació del Canal d’alertes del 11/07
La ciberseguretat és clau en la transformació digital de les administracions locals. Per avaluar-la l’Índex de Maduresa Digital (IMD) utilitza els indicadors calculats anualment per l’Agència de Ciberseguretat de Catalunya (ACC). Aquest any, l’ACC ha canviat la seva metodologia d’avaluació i disposem de nous indicadors per a una avaluació més completa de la seguretat de les entitats locals.
Millora de l’indicador de Ciberseguretat
Fins l’any passat l’IMD mesurava la vulnerabilitat de cibereguretat a partir del nivell d’exposició a vulnerabilitats calculat per l’ACC. Aquest indicador s’obtenia escanejant periòdicament els serveis accessibles a Internet de les entitats locals mitjançant una sèrie de proves automatitzades de detecció de vulnerabilitats sense realitzar cap intrusió.
Aquest any l’ACC ens ha proporcionat un nou indicador: la qualificació de seguretat. A més, hem fet servir la informació de la certificació en l’Esquema Nacional de Seguretat (ENS) que publica el Centro Criptológico Nacional.
Nou indicador de rendiment de Ciberseguretat
El primer nou indicador és la qualificació de ciberseguretat de la solució de mercat Bitsight, que mesura el rendiment de ciberseguretat de les organitzacions mitjançant dades provinents de diferents fonts i genera una puntuació que classifica les entitats en tres categories:
- Avançada: Rendiment de seguretat elevat i menor risc cibernètic.
- Intermèdia: Rendiment de seguretat acceptable i risc moderat.
- Bàsica: Rendiment de seguretat baix i menor risc cibernètic.
Bitsight fa una avaluació objectiva i contínua de la seguretat informàtica valorant aspectes com la presència de vulnerabilitats, però també la implementació de pràctiques de seguretat o la resposta a incidents de seguretat, entre d’altres. Aquesta avaluació millora la comprensió de la ciberseguretat de les entitats locals respecte a l’indicador anterior.
Segons aquesta eina, l’any 2023, el 64% de les 751 entitats locals avaluades van obtenir una qualificació de ciberseguretat alta, el 33% intermèdia i només el 3% baixa.
Certificació de l’Esquema Nacional de Seguretat (ENS)
El segon nou indicador avalua si l’entitat local disposa d’un certificat de compliment de l’ENS. L’ENS estableix els requisits per garantir la seguretat de l’administració pública, i tenir aquest certificat demostra el compromís amb els estàndards de seguretat legals.
L’any 2023 només 9 entitats locals de Catalunya disposaven de certificat de compliment de l’ENS dels seus serveis de gestió, més enllà de l’ús de solucions tecnològiques certificades.
- Els ajuntaments de l’Ametlla del Vallès, Manlleu, Vilanova i la Geltrú i el Consell Comarcal del Baix Llobregat disposaven del certificat de compliment de l’ENS per sistemes de categoria mitja.
- Els ajuntaments d’Almoster, Capafonts, Masllorenç, Bot i Villalba i els Arcs disposaven del certificat de compliment de l’ENS per categoria bàsica segons el Perfil de Compliment Específic de Requisits Essencials de Seguretat emprant la metodologia µCeENS.
El Perfil de Compliment de Requisits Essenciales de Seguretat i la metodologia µCeENS permeten que organitzacions amb dificultats per adequar-se al ENS aconsegueixin una certificació. En aquest sentit, cal destacar la iniciativa del Consell Comarcal del Baix Penedès, en col·laboració amb la Diputació de Tarragona, per implantar aquesta versió reduïda i adaptada del ENS en els municipis de menys de 20.000 habitants de la comarca.
Com calculem i puntuem l’indicador de Ciberseguretat
L’indicador de ciberseguretat de l’IMD és la suma ponderada dels dos indicadors de l’ACC, amb un factor de ponderació de 0,5 per a cadascun. L’indicador Qualificació de ciberseguretat val 1 per a la classificació Avançada, 0,75 per a Intermèdia, i 0,25 per a Bàsica. L’indicador Certificat de l’ENS val 1 si l’entitat té el certificat i 0 en cas contrari.
Per l’any 2023 només disposem de la qualificació de seguretat de Bitsight pel 100% de les entitats locals en la franja de més de 50.000 habitants. Per aquest motiu, en la resta de franges de població només s’ha tingut en compte el certificat de compliment de l’ENS, amb un factor de ponderació igual a 1.