El passat 30 de juny es va celebrar la Comissió Assessora de Ciberseguretat del Món Local, liderada per l’Agència de Ciberseguretat de Catalunya (ACC). En aquesta sessió es van presentar les conclusions dels pilots de ciberseguretat que l’AOC impulsa des de fa mesos amb diverses administracions locals catalanes.
Per què calen aquests pilots
Molts ajuntaments, sobretot els de mida petita i mitjana, s’enfronten a una realitat complexa: manquen de recursos tecnològics propis, sovint compten amb un únic informàtic (quan en tenen) i encara depenen de servidors locals i d’emmagatzematge en discs durs sense les garanties necessàries. Aquesta situació es tradueix en mancances en les còpies de seguretat, dificultats per complir l’Esquema Nacional de Seguretat (ENS) i, en els casos més greus, incidents que han arribat a aturar serveis municipals durant setmanes.
Davant d’aquest escenari, l’AOC posa a disposició dels ens locals les seves capacitats en serveis comuns i computació al núvol per millorar-ne la ciberseguretat, tant pel que fa als serveis propis com al suport directe als ajuntaments.
Ciberseguretat per als ajuntaments: còpia de seguretat immutable i altres
Arran de la Comissió Assessora de Ciberseguretat del Món Local de juliol de 2025, des de l’AOC vam plantejar un conjunt de proves de concepte i pilots per validar en quins àmbits podem ajudar a accelerar el desplegament de l’estratègia de ciberseguretat als ens locals, aprofitant l’experiència i les capacitats que hem consolidat en els serveis al núvol.
Durant el darrer any hem posat en marxa diverses solucions compartides, actualment en fase de pilot amb entitats com Localret, la Diputació de Girona, els Consells Comarcals del Bages, el Baix Empordà i el Ripollès, i ajuntaments com Manlleu, Sant Hilari Sacalm, el Masnou, Forallac i Navata, entre d’altres:
Còpia de seguretat immutable. Sincronització amb l’emmagatzematge al núvol per garantir còpies protegides davant d’atacs de tipus ransomware. El servei cobreix dos casos d’ús: les entitats que ja disposen de programari de backup, amb un procés automàtic i integrat, i les que encara no en tenen, mitjançant un procés manual sense integració. En tots dos casos prioritzem xifrar les dades, automatitzar els processos per evitar tasques manuals i testejar periòdicament la restauració. Les entitats que necessitin programari de backup el poden contractar a través de l’Acord Marc de Localret.
Computació al núvol amb Landing Zone. Un espai de computació (sandbox) amb servidor personalitzat, sistema operatiu Windows o Linux i capacitat adaptable a la demanda, integrat dins d’una infraestructura de seguretat amb criteris uniformes per a tots els serveis, auditada per l’ACC i amb compliment de l’ENS de Nivell Alt. Els equips es protegeixen amb solucions EDR —contractables també a través de l’Acord Marc de Localret— i es monitoritzen, i oferim un servei de suport a la configuració dels sistemes.
Valid. Segon factor d’autenticació (2FA) per frenar l’impacte del robatori de credencials i dels accessos indeguts, amb opcions com el Certificat Digital, l’idCAT Mòbil, el Cl@ve Mòbil o la cartera digital idCAT (alineada amb la identitat digital europea). Aquesta solució ja s’utilitza, per exemple, a la Generalitat de Catalunya.
Continuïtat de negoci digital. En cas d’incident greu, l’AOC i les diputacions posen a disposició dels ens locals un conjunt d’eines (Registre Auxiliar, ERES, Seu-e, eTRAM, eNotum i eFACT, entre d’altres) que permeten mantenir els serveis a la ciutadania i la gestió interna.
Els primers resultats són molt encoratjadors. Els equips tècnics dels ajuntaments i consells comarcals valoren especialment la rapidesa i la proximitat que els oferim, en contrast amb els seus proveïdors habituals o amb haver d’abordar aquests reptes en solitari. Els tècnics dels consells comarcals que donen servei a municipis petits destaquen que el servei de backup és clau, atès que molts ajuntaments encara depenen de sistemes propis de baixa qualitat.
Prioritats 2026
De cara als propers mesos ens centrem en tres línies prioritàries:
- Desplegament de la còpia immutable. En paral·lel a la creació de la Landing Zone i amb unes condicions de servei pròpies que detallen les responsabilitats de cada part. Fem una crida a totes les administracions que ja disposen d’un sistema de backup i vulguin fer ús d’aquest servei: durant el 2026 el cost serà gratuït. Els ens interessats poden contactar amb l’AOC a dinamitzacio@aoc.cat.
- Serveis de continuïtat de negoci digital. Volem formalitzar, juntament amb les diputacions, un protocol de continuïtat que s’activi de manera coordinada en cas d’incident greu.
- Desplegament de Valid. Impulsarem la integració de Valid AP amb les aplicacions de gestió interna dels ens locals —incloent-hi la identificació amb idCAT Mòbil— per substituir gradualment els sistemes d’usuari i contrasenya que no disposen de doble factor. Les administracions interessades ja poden posar-se en contacte amb l’AOC per iniciar el procés d’integració a dinamitzacio@aoc.cat.
Des de l’AOC valorem molt positivament la resposta dels ens locals i el seu suport perquè continuem desplegant i reforçant aquestes solucions.
Amb aquests pilots, l’AOC reafirma el seu compromís d’acompanyar els ens locals catalans en la millora de la seva ciberseguretat, en estreta col·laboració amb l’Agència de Ciberseguretat de Catalunya i la Comissió Assessora de Ciberseguretat del Món Local.
Ciberseguretat dels mateixos serveis de l’AOC
Per altra banda, cal recordar que la gran majoria dels serveis de l’AOC estan certificats amb l’ENS, la qual cosa garanteix que la infraestructura sobre la qual es presten els serveis digitals als ens locals compleix els nivells de seguretat exigits per la normativa.
A més, l’AOC disposa d’un equip i d’un centre d’operacions de ciberseguretat (SOC) per garantir les polítiques i per prevenir i gestionar els incidents.