VALENCIA.- El síndic de Comptes, en su Informe de Fiscalización de 2018 a Ferrocarrils de la Generalitat Valenciana (FGV), considera que el grado
de control existente en la gestión de los controles básicos de
ciberseguridad en la empresa muestra "debilidades significativas" por
lo que ve "necesario" que los órganos de dirección tomen conciencia de
la necesidad de conseguir los niveles exigidos por la normativa para la
protección de los sistemas de información "ante la multiplicidad de
amenazas existentes".
El objetivo es
"garantizar la consecución de los objetivos de la entidad, la adecuada
prestación de servicios a los ciudadanos y la protección de la
información y del resto de los activos de los sistemas de información".
"Esta cultura de ciberseguridad se debe trasladar a todos los niveles y
departamentos de FGV", señala el síndic, que añade que un aspecto que se
debe destacar es que la mejora de los controles de ciberseguridad
requerirá de actuaciones e inversiones "tanto en medios materiales como
personales, que deben ser adecuadamente planificados".
No las expone porque comprometen la seguridad
Dado
que la información utilizada en la revisión y sus resultados detallados
tienen un carácter "sensible" y pueden afectar a la seguridad de los
sistemas de información de la entidad, estos resultados detallados el síndic únicamente los comunica con carácter confidencial a los responsables de FGV para
que puedan adoptar las medidas correctoras necesarias.
Cabe recordar la
denuncia que un ingeniero informático puso en un juzgado por un agujero de seguridad, al que la compañía pública denunció a pesar de reconocer ante la Agencia de Protección de Datos que existía un problema real.
Sobre el control interno, el síndic
sostiene que la revisión de estos en el proceso de gestión de los
ingresos para transporte de viajeros ha sido "satisfactoria", por lo que
se considera que, en conjunto, el nivel de control existente en este
proceso "aporta un nivel de confianza razonable para garantizar la
integridad, exactitud y validez de las transacciones y datos
compatibilizados".
Entre las
recomendaciones, el síndic aconseja formalizar con las entidades
financieras el procedimiento de actuación relacionado con la disposición
de fondos que se sigue en la actualidad (además de enviar el fichero
con las operaciones a realizar por banca electrónica se envíe por correo
electrónico la autorización para cursarlo firmado al menos por dos de
las personas autorizadas) y firmar también digitalmente el correo
electrónico y modificar la forma de disposición de fondos para que
requieran firmas mancomunadas en todo caso, con independencia del
importe.
El síndic apunta a que aunque
en la práctica les han comunicado que se sigue ese criterio, "de acuerdo
con los poderes y la delegación de facultades vigente, el director
gerente tiene la potestad para realizar operaciones de hasta 150.000
euros sin necesidad de la firma mancomunada de otro apoderado.
Segregación de funciones
También
sugiere la posibilidad de distribuir entre varias personas las
funciones de compatibilización, preparación de pagos y conciliación de
bancos porque "centralizarlas todas en una única persona presenta
conflictos ante lo que se considera una segregación adecuada de
funciones".
Otras recomendaciones son
aprobar un procedimiento integral que regule la operativa seguida para
el control y compatibilitación de los ingresos por transporte de
viajeros; desarrollar un procedimiento que permita obtener información
del estado contable detallado de las máquinas automáticas e implantar un
control que permita la verificación de la cifra de ingresos que la
Autoridad de Transporte Metropolitano de València reporta a FGV.
Por
último, aconseja desarrollar un procedimiento que garantice la
anulación de las tarjetas de empleados de FGV y familiares, que permiten
utilizar la red de la entidad de manera gratuita, cuando se dejen de
cumplir las circunstancias necesarias para beneficiarse de esta
condición.
No hay comentarios:
Publicar un comentario