29 novembre 2023 Informes

Auditoria de ciberseguretat i dels controls generals de tecnologies de la informació del nou sistema SEDA de l’Ajuntament de València. Situació a 30 de setembre de 2023

València, 29 de novembre de 2023.- El sistema d’informació per a la gestió de la informació municipal de caràcter economicofinancer i comptable de l’Ajuntament de València ha sigut substituït en 2022 per l’aplicació SEDA. El sistema SEDA és la versió més actual del programari ERP de la companyia SAP.

Aquest canvi ha tingut com a objecte la simplificació dels processos per mitjà de la unificació en un sistema de diverses aplicacions municipals, l’augment de l’eficàcia i eficiència en el compliment de les obligacions legals i garantir la fiabilitat de la informació econòmica municipal.

En sintonia amb els objectius estratègics de la Sindicatura de Comptes, s’ha fet un treball d’auditoria de ciberseguretat específica sobre el sistema SEDA. Aquest informe complementa els resultats de l’Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de València de l’any 2019 aprovat en 2022.

Com a resultat de la revisió efectuada de 44 controls detallats, cal concloure que el grau de control existent en la gestió dels controls generals de tecnologies de la informació relacionats amb la ciberseguretat del sistema SEDA aconsegueix un índex de maduresa del 67,2%. Tots els controls analitzats han de millorar per a aconseguir l’objectiu del 80% establit per l’Esquema Nacional de Seguretat i hi ha clares possibilitats de millora per a la protecció dels sistemes d’informació.

Contextualitzant els resultats obtinguts en aquesta auditoria en el marc de l’Informe de síntesi de les auditories de ciberseguretat dels quinze majors ajuntaments i de les tres diputacions de la Comunitat Valenciana de l’exercici 2021, podem constatar la posició relativa del nivell de maduresa general dels controls de ciberseguretat del sistema SEDA respecte a la mitjana dels controls bàsics de ciberseguretat dels 15 ajuntaments analitzats i amb l’Ajuntament de València.


Així mateix, durant la nostra revisió hem observat, com a part del procés d’obtenció de coneixement del sistema SEDA, que el sistema compleix els requisits funcionals i satisfà les necessitats operatives dels usuaris, i que s’ha realitzat una adequada gestió del desenvolupament i desplegament del sistema SEDA per part dels responsables del projecte en l’Ajuntament i per part dels adjudicataris del projecte i de la seua direcció.

També hem realitzat una sèrie de recomanacions amb el propòsit de contribuir a esmenar les deficiències observades i millorar la gestió de la ciberseguretat del sistema SEDA. Entre aquestes aconsellem millorar la configuració de seguretat dels diferents entorns del sistema, finalitzar la licitació per a l’adquisició d’un sistema EDR per a la protecció dels dispositius finals d’usuari de l’Ajuntament, i ampliar el Pla de Contingència per al sistema SEDA de manera que reculla i formalitze la realització periòdica de proves de recuperació planificades per a tots els tipus de còpia existents.

Amb caràcter general continuen vigents les conclusions i les recomanacions realitzades en l’informe esmentat adés, la més important de les quals es refereix a la necessària actualització i aprovació de la Política de Seguretat de la Informació de l’Ajuntament


Per a vore l'informe complet, feu clic ací: Auditoria de ciberseguretat i dels controls generals de tecnologies de la informació del nou sistema SEDA de l’Ajuntament de València. Situació a 30 de setembre de 2023


NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem la lectura de l’informe complet per a conéixer el veritable abast del treball realitzat.