La Sindicatura de Comptes ha hecho público este jueves un informe de auditoría de ciberseguridad de la Empresa Municipal de Transportes de València (EMT) de València, focalizada en las áreas de ingresos por transporte de viajeros, de contabilidad y de tesorería, referida a la situación de los controles durante 2020.
Este trabajo se enmarca dentro del Plan Estratégico de la Sindicatura de Comptes para el periodo 2019-2022, que señala la ciberseguridad como una de las áreas de alto riesgo y prioritarias para llevar a cabo la tarea fiscalizadora.
Un informe que, dicho sea de paso, cobra más relevancia tras el caso de los 4 millones de euros detectado el año pasado precisamente por una quiebra de la ciberseguridad en los sistemas de pago de la entidad municipal.
Entre las conclusiones del informe de Sindicatura de Comptes, se constata un "bajo índice de madurez de los controles de ciberseguridad, cuantificado en un 51,5%, siendo el objetivo del 80,0%".
Por otro lado, frente a la multiplicidad de amenazas existentes, Sindicatura de Comptes recomienda "mayor concienciación en relación con la ciberseguridad por parte de los órganos superiores de la EMT y más recursos dedicados a la seguridad de la información, ya que la subsanación de las deficiencias que se señalan a lo largo del informe requiere actuaciones e inversiones, tanto en medios materiales como personales".
También incide el informe en que es necesario actualizar y reforzar la gobernanza de la seguridad de la información, alineándola con lo establecido en el Esquema Nacional de Seguridad.
En la auditoría se ha observado, por último, que la situación de los controles de acceso privilegiado a los sistemas debe ser mejorada, ya que existen "graves deficiencias en los controles relacionados con los usuarios administradores de algunos sistemas que proporcionan soporte a procesos críticos de negocio".
Sobre las recomendaciones efectuadas por la Sindicatura al ente fiscalizado, además de "las deficiencias de control significativas, que deben ser subsanadas con urgencia, como resultado de la auditoría se han efectuado 16 recomendaciones para cuya atención la EMT deberá dedicar los esfuerzos y recursos necesarios".
Con respecto a la respuesta de la entidad a la auditoría elaborada, durante la fase de alegaciones, la Dirección de EMT ha enfatizado en el proceso de mejora del sistema de seguridad de la información emprendido por la entidad durante los dos ejercicios anteriores y en su intención de atender las recomendaciones realizadas.
Asimismo, tanto durante el transcurso del trabajo de campo de la auditoría como en la fase de alegaciones, la EMT ha informado a la Sindicatura de la adopción de varias iniciativas para subsanar deficiencias observadas, algunas subsanadas y otras pendientes al emitir el informe.
Cabe decir que, en las valoraciones del nivel de madurez de los controles, se han tenido en cuenta solo las mejoras ya implantadas y en funcionamiento en el momento de la revisión, existiendo otras iniciativas en marcha para atender buena parte de las recomendaciones efectuadas por la Sindicatura cuyo diseño y eficacia operativa podrán ser evaluadas en un posterior informe de seguimiento.
