Actualizado 04/02/2021 14:40 CET

Sindicatura detecta falta de ciberseguridad en la EMT y "graves deficiencias" en los controles

Un autobús de la línea C1 pasa al lado de los maceteros colocados en la Plaza del Ayuntamiento de Valencia
Un autobús de la línea C1 pasa al lado de los maceteros colocados en la Plaza del Ayuntamiento de Valencia - Rober Solsona - Europa Press - Archivo

VALÈNCIA, 4 Feb. (EUROPA PRESS) -

La Sindicatura de Comptes ha detectado un bajo índice de ciberseguridad en la Empresa Municipal de Transportes (EMT) de València y "graves deficiencias" en los controles de administradores que proporcionan soporte a procesos críticos de negocio, unas deficiencias que "deben ser subsanadas con urgencia".

Así lo recoge la auditoría de ciberseguridad de la empresa pública en 2020, realizada al margen del fraude de cuatro millones de euros que sufrió en septiembre de 2019. Este informe sí tiene en cuenta las circunstancias de esta estafa y las áreas relacionadas, en particular la tesorería ante "los riesgos de posible falta de eficacia en los controles de seguridad".

A lo largo de 74 páginas, Sindicatura analiza la ciberseguridad de la EMT hasta concluir que tiene un nivel de madurez del 51,5%; es decir, "los controles en general se realizan" pero algunos no están formalizados. Aun así, este nivel está lejos del objetivo del 80% para una compañía de este tipo.

Por áreas, la de organización alcanza el 50,9% (60% en formación y concienciación y 41,7% en cumplimiento de la legalidad); la de gestión de cambios el 60,2%; la de operaciones el 56,9% (63,8% en hardware, 70% en software, 60,7% en vulnerabilidades, 49,5% en configuraciones seguras, 51,8% en registro de actividad, 49,8% en servicios externos y 53,1% en incidentes); la de controles de acceso el 38,1% (38,6% en uso de privilegios administrativos, 40,3% en mecanismos de identificación, 36,4% en derechos de acceso y 37,3% en gestión de usuarios); la de continuidad del servicio el 51,3%.

Ante estos resultados, Sindicatura ve posibilidades de mejora e insta a que tanto el consejo de administración como el pleno del Ayuntamiento "tomen conciencia" de llegar a los niveles que exige la normativa para la protección contra amenazas. "Esta cultura de ciberseguridad se debe trasladar a todos los niveles y departamentos de la EMT", aconseja, lo que requerirá de inversiones "tanto materiales como personales".

La auditoría advierte que los departamentos de la empresa asumen independientemente la administración de sistemas de información cuando debería estar centralizado, lo que dificulta la capacidad operativa y supone "un elevado riesgo". También detecta "graves deficiencias" en los controles relacionados con los administradores de los sistemas, particularmente en los gestionados de manera autónoma por los
departamentos y que dan soporte a procesos "críticos" de negocio.

Entre estas carencias, Sindicatura destaca la insuficiente aplicación del principio de mínimo privilegio y una deficiente gestión de los registros de actividad, a pesar de que "tienen un reducido coste de corrección y un alto impacto en el nivel de ciberseguridad". Se trata de algo que la EMT pretende resolver a través de un programa de trabajo que está en fase de implantación.

Otro problema que recoge el informe es el nivel "insatisfactorio" de adecuación a la normativa de ciberseguridad, algo que es responsabilidad del Ayuntamiento de València y del consejo de administración, en el marco del cumplimiento de la normativa de protección de datos.

El órgano fiscalizador recuerda así que la EMT está obligada a acogerse al Esquema Nacional de Seguridad como empresa 100% pública y que su consejo de administración debe garantizar los controles internos. A su juicio, la implicación del consejo y del director-gerente podría ser el factor más importante para la implantación de un sistema de gestión de seguridad.

RECOMENDACIONES

Como conclusión, estas son algunas de sus recomendaciones: identificación de vulnerabilidades a todos los sistemas, con escaneo y análisis previo a la entrada de los sistemas; procedimiento unificado de gestión de administradores, con la eliminación "siempre que sea posible" de los usuarios no nominativos; registros de actividad en todos los sistemas, específicamente para administradores; aprobación del control de accesos (en fase de borrador); mejora de la autenticación en la contabilidad.

Sindicatura aconseja realizar revisiones periódicas del hardware y gestión integral del software con 'listas blancas' del que está autorizado, así como un procedimiento para gestionar las copias de seguridad. También propone son un plan de formación y concienciación en seguridad que "motive" a los empleados, desde los conductores a la dirección, o un proceso para gestionar los servicios externos.

Para mejorar la gestión de incidentes, insta a aprobar un procedimiento específico con un plan de actuación que defina el personal competente, la toma de decisiones urgentes, la asignación de recursos, la comunicación a las partes interesadas y la implantación de medidas que eviten que se repitan en un futuro.

En materia de protección de datos, el órgano externo emplaza a la empresa municipal de autobuses a adaptarse a la ley nacional de 2018 aplicando "todas las medidas organizativas y técnicas necesarias para proteger los datos personales".

La auditoría, realizada entre junio y noviembre, recoge todas estas conclusiones de forma sintética, ya que los resultados detallados solo se comunican con carácter confidencial a los responsables de la EMT para que tomen medidas. Durante la fase de alegaciones al informe, según Sindicatura, la dirección ha garantizado su intención de mejorar la seguridad y de cumplir las recomendaciones.

Para leer más