VALÈNCIA. La Sindicatura de Comptes suspende en materia de ciberseguridad a la central de compras de la Conselleria de Sanidad. Así se recoge en la auditoría de control referente al ejercicio 2022 que publicaba la institución este lunes, y que está vinculada con la aplicación Orion Logis, que proporciona soporte a los procesos de compras de bienes y servicios del departamento ahora liderado por Marciano Gómez.
Para el ente, los controles generales de tecnologías de la información vinculados a dicha aplicación tienen un índice de madurez "muy deficiente" y "no aportan un nivel de confianza razonable para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de las transacciones de los datos". Un índice que cifra en 48,7%, inferior al 80% requerido por el real decreto que regula el Esquema Nacional de Seguridad.
El informe apunta a deficiencias en cuestiones como el inventario de hardware y software, la gestión de vulnerabilidades, configuraciones seguras, controles de acceso a usuarios o protección de redes y comunicaciones. "La situación de los CGTI (controles generales de tecnologías de la información) representa, por tanto, un nivel de riesgo sobre la seguridad de la información inaceptable y las deficiencias existentes no permiten confiar en el buen funcionamiento de los controles de procesamiento de información (CPI), por lo que la entidad debe adoptar medidas para reconducir la situación", señala.
Unas apreciaciones y concreciones que no han caído bien en la Oficina de Seguridad de la Información, dependiente de la subdirección General de Sistemas de Información para la Salud (SDGSIS), que alude al conflicto entre transparencia y seguridad en sus alegaciones. "Reconociendo la transparencia como una parte esencial del buen gobierno, así como el importante papel y la independencia de la Sindicatura de Comptes, dar publicidad a los aspectos donde esta Conselleria es vulnerable aumenta su superficie de exposición al riesgo y, en lugar de contribuir a mejorar la situación, la empeora gravemente", señalan desde el organismo.
"En este sentido, a pesar de lo indicado en el apartado Confidencialidad, consideramos excesivo el nivel de detalle del informe", insisten. En este sentido, solicitaron a la Sindicatura limitar el nivel de detalle en el informe público, evitando dar pistas a los posibles atacantes sobre las debilidades de control detectadas. "Por otro lado, una mayor concreción es de agradecer en el informe interno en la media en que pueda servir para mejorar la situación", reconocían. La Sindicatura lleva dando consejos acerca de la cuestión desde 2013.
Cabe recordar que, en términos presupuestarios, las obligaciones reconocidas en 2022 en el capítulo 2 "Compras de bienes corrientes y gastos de funcionamiento" de la Conselleria de Sanidad ascendieron a 2734,4 millones, un 74% del total del capítulo. Para la Sindicatura, la Conselleria de Sanidad no tiene establecida una adecuada gobernanza de la ciberseguridad, una cuestión de la que responsabiliza a los órganos superiores de la Conselleria. En este sentido, pide reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.
Para resolver los problemas, entre los que también se destaca aspectos pendientes de cumplimiento de la normativa de protección de datos personales, apunta a recomendaciones relacionadas con mejorar la capacidad de recuperación de los sistemas ante posibles desastres o ciberataques mediante sistemas de alta disponibilidad redundados en diferentes ubicaciones y una adecuada gestión de las copias de seguridad.
"Los CGTI son muy importantes, ya que en los últimos años el sector de la salud se ha convertido en un objetivo preferente de los ciberdelincuentes, y unos sólidos CGTI representan la defensa más eficaz frente a las ciberamenazas en un entorno que se sustenta en sistemas de información intensamente interconectados", señalan desde la Sindicaturas.
Entre las recomendaciones, donde engloba a todos los sistemas de información de la conselleria, señala cuestiones técnicas y de actualización de procedimientos, pero también la necesidad de desarrollar la política de seguridad de la Generalitat mediante normas y y procedimientos de seguridad debidamente aprobados. A esto suma elaborar un plan estratégico para los sistemas de información de la conselleria que se integre en la planificación general de las TIC de la Generalitat.
En las alegaciones, la Conselleria de Sanidad alega que tiene previsto ejecutar en un futuro próximo 4,5 millones de euros en proyectos para mejorar la ciberseguridad financiados por el Mecanismo de Recuperación y Resiliencia de la Unión Europea con el objetivo de desarrollarlos y finalizarlos, en la mayor parte de los casos, en 2024. "Las inversiones en ciberseguridad mejorarán los niveles de madurez de la Conselleria, por lo que consideramos que la iniciativa va en la dirección correcta para implantar las recomendaciones incluidas en el Informe", apuntan. Además, alegan que se producirá un salto cualitativo al ejecutar los contratos previstos al finalizar las actuaciones que actualmente siguen en marcha en esta materia.
