La Sindicatura alerta de "graves deficiencias" en parte de la ciberseguridad de la EMT

VALÈNCIA. "Existen graves deficiencias en los controles relacionados con los usuarios administradores de algunos sistemas que proporcionan soporte a procesos críticos de negocio". Es una de las conclusiones a las que ha llegado la Sindicatura de Comptes en su informe de auditoría de ciberseguridad en la Empresa Municipal de Transportes (EMT) de València. Se refiere el órgano fiscalizador en este caso a los controles vigentes de acceso privilegiado vigentes en la EMT.

Según la Sindicatura, hay carencias en la aplicación del "mínimo privilegio" y una deficiente gestión en los registros de actividad de los usuarios administradores, fallas que pese a tener un reducido coste de corrección, tendría un "alto impacto" a nivel de ciberseguridad en la empresa municipal que preside Giuseppe Grezzi. Ante ello la EMT explicó que ya hay un plan de trabajo que se está implementando con las modificaciones necesarias para mejorar la gestión del derecho de acceso y privilegios administrativos de los usuarios. 

La auditoría de la Sindicatura [recogida íntegra aquí] se realizó entre junio y septiembre de 2020 y no analiza el robo de cuatro millones sufrido el año anterior. La conclusión del organismo en términos generales es que los controles de ciberseguridad apenas superan un índice de madurez superior al 51% del 80% que sería recomendable. El apartado con mayor puntuación es el de la gestión de cambios en las aplicaciones (60%), mientras que el peor se lo lleva precisamente el de los controles de acceso a datos y a programas de la EMT (38%).

Sobre esto último, las conclusiones de septiembre señalaban que la gestión de derechos de acceso "no alcanza los niveles de control adecuados". Aunque los procesos en la aplicación de ingresos se hayan mejorado, "no existe un proceso de gestión y revisión de usuarios locales al sistema", lo que supone "una deficiencia de control significativa". Y por su parte, en la aplicación contable todavía había "claras posibilidades de mejora", especialmente porque es aquí donde no se aplica el criterio de mínimo privilegio, una deficiencia también "significativa".

En cuanto a los registros de actividad de los usuarios, se explica que están activados en la mayor parte de los sistemas, pero se mantiene la configuración del fabricante y además presenta un sistema descentralizado que no tiene activadas las funciones de almacenamiento de los registros de actividad, una "deficiencia grave de control" porque impide la trazabilidad de las acciones de los usuarios, y especialmente de aquellos que tienen privilegios. Con todo, en este apartado, la empresa sí cuenta de un sistema de seguridad que permite detectar vulneraciones.

Asimismo, según el informe, la EMT no alcanza "un satisfactorio nivel de adecuación" a la normativa de ciberseguridad al no haber llevado a cabo "acciones específicamente orientadas" a adaptarse al Esquema Nacional de Seguridad como empresa pública que es. Sí tiene elaborada desde 2018 una Política de Seguridad de la Información, pero no la ha aprobado el Consejo de Administración como se requiere, y no hay un órgano de gobierno de la seguridad ni se respeta la segregación de funciones requerida en esta materia. También aquí la empresa está en fase de adaptación a la normativa.

A su juicio, la implicación del consejo y del director-gerente podría ser el factor más importante para la implantación de un sistema de gestión de seguridad. Ante estos resultados, la Sindicatura ve en el informe posibilidades de mejora e insta a que tanto el consejo de administración como el pleno del Ayuntamiento "tomen conciencia" de llegar a los niveles que exige la normativa para la protección contra amenazas. "Esta cultura de ciberseguridad se debe trasladar a todos los niveles y departamentos de la EMT", aconseja, lo que requerirá de inversiones "tanto materiales como personales". Asimismo, remite a la empresa múltiples recomendaciones para mejorara los índices de seguridad.

"Gestión desastrosa"

Tras salir a la luz el informe de la Sindicatura de Comptes, la portavoz PP, María José Catalá, aseveró que el documento "confirma las graves deficiencias en esta materia en la EMT un año después de producirse una estafa de cuatro millones de euros de las cuentas de la empresa municipal de transportes". Por ello anunció que pedirá un consejo extraordinario para poner en marcha "de urgencia" las medidas que pide la Sindicatura.

Además, la popular pidió al alcalde, Joan Ribó, y a los ediles socialistas, que "tomen medidas para apartar ya al Grezzi al frente de la gestión de la EMT". A su juicio, el alcalde "no puede seguir protegiendo y avalando esta gestión  desastrosa y ruinosa". "No sabemos qué más tiene que pasar para que se asuman responsabilidades políticas en esta empresa pública que ha sufrido un robo de cuatro millones que aún no han sido recuperados, un incendio de más de 26 autobuses en sus cocheras con deficiencias en sus sistemas contraincendios y con unos índices de ciberseguridad 30 puntos por debajo del mínimo establecido", concluyó.

Por su parte, el Portavoz de Ciudadanos, Fernando Giner, dijo que Ribó "no se toma en serio" la empresa pese a gestionar 100 millones de euros cada año. "Todas las auditorías de los últimos años señalan las deficiencias en ciberseguridad de la empresa", explicó, para recordar el fraude de cuatro millones "por deficiencias en este ámbito". Así, criticó que en la comisión de investigación sobre el fraude "se eludió cualquier mención a la ciberseguridad".

Así, Giner insistió en el cese del edil de Movilidad como presidente de la empresa y que el Ayuntamiento intervenga la empresa: "Creemos que es la única manera de empezar a mejorar las cosas". Para concluir, el portavoz naranja trajo a colación que hay una petición de peritaje informático de la EMT realizada en julio de 2020 pero todavía no se sabe "nada" al respecto.