- Administración abierta
- Gobierno abierto
- Tramitación electrónica
El lenguaje llano y la comunicación clara a los servicios digitales que ofrece la AOC: los casos del portal de transparencia y el e-TRAM
La ciberseguridad es clave en la transformación digital de las administraciones locales. Para evaluarla el Índice de Madurez Digital (IMD) utiliza los indicadores calculados anualmente por la Agencia de Ciberseguridad de Cataluña (ACC). Este año, la ACC ha cambiado su metodología de evaluación y disponemos de nuevos indicadores para una evaluación más completa de la seguridad de las entidades locales.
Mejora del indicador de Ciberseguridad
Hasta el año pasado el IMD medía la vulnerabilidad de cibereguridad a partir del nivel de exposición a vulnerabilidades calculado por la ACC. Este indicador se obtenía escaneando periódicamente los servicios accesibles a Internet de las entidades locales mediante una serie de pruebas automatizadas de detección de vulnerabilidades sin realizar intrusión alguna.
Este año la ACC nos ha proporcionado un nuevo indicador: la calificación de seguridad. Además, hemos utilizado la información de la certificación en el Esquema Nacional de Seguridad (ENS) que publica el Centro Criptológico Nacional.
Nuevo indicador de rendimiento de Ciberseguridad
El primer nuevo indicador es la calificación de ciberseguridad de la solución de mercado Bitsight, que mide el rendimiento de ciberseguridad de las organizaciones mediante datos provenientes de diferentes fuentes y genera una puntuación que clasifica a las entidades en tres categorías:
- avanzado: Rendimiento de seguridad elevado y menor riesgo cibernético.
- Intermedia: Rendimiento de seguridad aceptable y riesgo moderado.
- básica: Rendimiento de seguridad bajo y menor riesgo cibernético.
Bitsight realiza una evaluación objetiva y continua de la seguridad informática valorando aspectos como la presencia de vulnerabilidades, pero también la implementación de prácticas de seguridad o la respuesta a incidentes de seguridad, entre otros. Esta evaluación mejora la comprensión de la ciberseguridad de las entidades locales respecto al anterior indicador.
Según esta herramienta, en 2023, el 64% de las 751 entidades locales evaluadas obtuvieron una calificación de ciberseguridad alta, el 33% intermedia y sólo el 3% desciende.
Certificación del Esquema Nacional de Seguridad (ENS)
El segundo nuevo indicador evalúa si la entidad local dispone de un certificado de cumplimiento del ENS. El ENS establece los requisitos para garantizar la seguridad de la administración pública, y tener este certificado demuestra el compromiso con los estándares de seguridad legales.
En 2023 sólo 9 entidades locales de Cataluña disponían de certificado de cumplimiento del ENS de sus servicios de gestión, más allá del uso de soluciones tecnológicas certificadas.
- Los ayuntamientos de la Ametlla del Vallès, Manlleu, Vilanova y la Geltrú y el Consejo Comarcal de El Baix Llobregat disponían del certificado de cumplimiento del ENS por sistemas de categoría media.
- Los ayuntamientos de Almoster, Capafonts, Masllorenç, Bot y Villalba y los Arcos disponían del certificado de cumplimiento del ENS por categoría básica según el Perfil de Cumplimiento Específico de Requisitos Esenciales de Seguridad empleando la metodología µCeENS.
El Perfil de Cumplimiento de Requisitos Esenciales de Seguridad y la metodología µCeENS permiten que organizaciones con dificultades para adecuarse al ENS consigan una certificación. En este sentido, cabe destacar la iniciativa del Consejo Comarcal de El Baix Penedès, en colaboración con la Diputación de Tarragona, para implantar esta versión reducida y adaptada del ENS en los municipios de menos de 20.000 habitantes de la comarca.
Cómo calculamos y puntuamos el indicador de Ciberseguridad
El indicador de ciberseguridad del IMD es la suma ponderada de los dos indicadores de la ACC, con un factor de ponderación de 0,5 para cada uno. El indicador Calificación de ciberseguridad vale 1 para la clasificación Avanzada, 0,75 para Intermedia y 0,25 para Básica. El indicador Certificado del ENS vale 1 si la entidad tiene el certificado y 0 en caso contrario.
Para 2023 sólo disponemos de la calificación de seguridad de Bitsight por el 100% de las entidades locales en la franja de más de 50.000 habitantes. Por este motivo, en el resto de franjas de población sólo se ha tenido en cuenta el certificado de cumplimiento de la ENS, con un factor de ponderación igual a 1.