un usuario ya denunció un agujero en la 'app'

La Sindicatura alerta de "debilidades significativas" en los controles básicos de ciberseguridad en FGV

5/12/2019 - 

VALÈNCIA. El síndic de Comptes, en su Informe de Fiscalización de 2018 a Ferrocarrils de la Generalitat Valenciana (FGV), considera que el grado de control existente en la gestión de los controles básicos de ciberseguridad en la empresa muestra "debilidades significativas" por lo que ve "necesario" que los órganos de dirección tomen conciencia de la necesidad de conseguir los niveles exigidos por la normativa para la protección de los sistemas de información "ante la multiplicidad de amenazas existentes".

El objetivo es "garantizar la consecución de los objetivos de la entidad, la adecuada prestación de servicios a los ciudadanos y la protección de la información y del resto de los activos de los sistemas de información". "Esta cultura de ciberseguridad se debe trasladar a todos los niveles y departamentos de FGV", señala el síndic, que añade que un aspecto que se debe destacar es que la mejora de los controles de ciberseguridad requerirá de actuaciones e inversiones "tanto en medios materiales como personales, que deben ser adecuadamente planificados".

No las expone porque comprometen la seguridad 

Dado que la información utilizada en la revisión y sus resultados detallados tienen un carácter "sensible" y pueden afectar a la seguridad de los sistemas de información de la entidad, estos resultados detallados el síndic únicamente los comunica con carácter confidencial a los responsables de FGV para que puedan adoptar las medidas correctoras necesarias. Cabe recordar la denuncia que un ingeniero informático puso en un juzgado por un agujero de seguridad, al que la compañía pública denunció a pesar de reconocer ante la Agencia de Protección de Datos que existía un problema real.


Sobre el control interno, el síndic sostiene que la revisión de estos en el proceso de gestión de los ingresos para transporte de viajeros ha sido "satisfactoria", por lo que se considera que, en conjunto, el nivel de control existente en este proceso "aporta un nivel de confianza razonable para garantizar la integridad, exactitud y validez de las transacciones y datos compatibilizados".

Entre las recomendaciones, el síndic aconseja formalizar con las entidades financieras el procedimiento de actuación relacionado con la disposición de fondos que se sigue en la actualidad (además de enviar el fichero con las operaciones a realizar por banca electrónica se envíe por correo electrónico la autorización para cursarlo firmado al menos por dos de las personas autorizadas) y firmar también digitalmente el correo electrónico y modificar la forma de disposición de fondos para que requieran firmas mancomunadas en todo caso, con independencia del importe.

El síndic apunta a que aunque en la práctica les han comunicado que se sigue ese criterio, "de acuerdo con los poderes y la delegación de facultades vigente, el director gerente tiene la potestad para realizar operaciones de hasta 150.000 euros sin necesidad de la firma mancomunada de otro apoderado.

Segregación de funciones

También sugiere la posibilidad de distribuir entre varias personas las funciones de compatibilización, preparación de pagos y conciliación de bancos porque "centralizarlas todas en una única persona presenta conflictos ante lo que se considera una segregación adecuada de funciones".

Otras recomendaciones son aprobar un procedimiento integral que regule la operativa seguida para el control y compatibilitación de los ingresos por transporte de viajeros; desarrollar un procedimiento que permita obtener información del estado contable detallado de las máquinas automáticas e implantar un control que permita la verificación de la cifra de ingresos que la Autoridad de Transporte Metropolitano de València reporta a FGV.

Por último, aconseja desarrollar un procedimiento que garantice la anulación de las tarjetas de empleados de FGV y familiares, que permiten utilizar la red de la entidad de manera gratuita, cuando se dejen de cumplir las circunstancias necesarias para beneficiarse de esta condición.

Noticias relacionadas