La Sindicatura detecta un bajo nivel de ciberseguridad en la EMT

La Sindicatura de Cuentas ha detectado un “bajo índice de madurez de los controles de ciberseguridad” en la Empresa Municipal de Transporte (EMT) de València, que cuantifica en un 51,5 por ciento, cuando el objetivo es el 80 por ciento, y le insta a destinar más recursos materiales y de personal para seguridad de la información.

Así se concluye en el Informe de auditoria de ciberseguridad de la EMT que ha publicado el organismo y que se focaliza en las área de ingresos por transporte de viajeros, compatibilidad y tesorería, referida a la situación de los controles durante 2020.

Este trabajo, explica, se enmarca en el Plan Estratégico de la Sindicatura de Cuentas para el periodo 2019-2022, en el que se señala la ciberseguridad como una de las áreas de alto riesgo y prioritarias para llevar a cabo la tarea fiscalizadora.

Apunta el informe que ante la multiplicidad de amenazas existentes “se requiere mayor concienciación en relación con la ciberseguridad por parte de los órganos superiores de la EMT y más recursos dedicados a la seguridad de la información”, pues las deficiencias que se detallan en el informe requieren “actuaciones e inversiones, tanto en medios materiales como personales”.

“Es necesario actualizar y reforzar la gobernanza de la seguridad de la información y alinearla con lo que se establece en el Esquema Nacional de Seguridad”, indica la Sindicatura de Cuentas.

También advierte que en la auditoría han observado que la situación de los controles de acceso privilegiado a los sistemas “ha de mejorar, ya que hay graves deficiencias en los controles relacionados con los usuarios administradores de algunos sistemas que proporcionan soporte a los procesos críticos de negocio”.

Además de la deficiencias de control significativas, que requieren actuar “con urgencia”, la Sindicatura ha realizado una serie de recomendaciones a la EMT para las cuales ha de dedicar “esfuerzos y recursos necesarios” y le ha aconsejado la prioridad de cada una para llevar a cabo.

Respecto a la respuesta de la entidad auditada, ha afirmado que la dirección de la EMT “ha enfatizado el proceso de mejora del sistema de seguridad de la información utilizado en ejercicios anteriores y su intención es atender las recomendaciones”.

La Sindicatura ha añadido que tanto durante el trabajo de campo como en la fase de alegaciones, la EMT ha informado de la adopción de diversas iniciativas para solucionar las deficiencias observadas, aunque aún quedan pendientes en el momento de emitir el informe.

En las valoraciones del nivel de madurez de los controles, se han tenido en cuenta nada más que “las mejoras ya implantadas y en funcionamiento en el momento de la revisión”, pero hay otras iniciativas “en marcha para atender buena parte de las recomendaciones efectuadas” y cuyo diseño y eficacia se evaluará en un informe posterior.