VALÈNCIA. La Sindicatura de Comptes detecta un "alto grado" de dependencia del proveedor encargado del desarrollo y mantenimiento de la plataforma financiera de la Generalitat Valenciana. El órgano que encabeza Vicent Cucarella ha realizado una auditoría sobre el sistema Nefis para analizar los controles de seguridad de esta plataforma. A modo de conclusión, se observa que se garantiza "de manera razonable" el adecuado funcionamiento de los controles de procesamiento de la información, pero se identifican varias "deficiencias significativas" en este aspecto. 

Cabe recordar que el programa Nefis (New Economical Financial Information System) fue anunciado durante el Consell del Botànic por el entonces titular de Hacienda Vicent Soler. El sistema venía a solucionar el atraso informático de la administración con un programa que permitiría gestionar el sistema económico y financiero del Ejecutivo autonómico y los organismos autónomos. Fue adjudicado en 2019 al grupo Inetum por 16,5 millones de euros - IVA incluido - por un periodo de tres años. Tanto este montante como el plazo de ejecución se tuvo que modificar por causas diversas como la pandemia, falta de formación y reticencias de funcionarios o el año electoral, entre otras. 

De hecho, el sistema no se puso en marcha hasta comienzos de 2024, ya con Carlos Mazón al frente de la Generalitat Valenciana. La situación, como ya detalló la Sindicatura de Comptes en septiembre de 2023, "ha derivado en un aumento del coste previsto (más del 48% del importe inicial de la adjudicación) y de los plazos de ejecución (ha pasado de 36 a 60 meses)". Tras casi dos años en servicio, este órgano vuelve a auditar el sistema en materia de configuración de la seguridad.

Se trata de un estudio con un elevado carácter técnico en el que destaca la detección de un "elevado grado de dependencia del proveedor encargado del desarrollo y mantenimiento del sistema". Un hecho que la Sindicatura achaca, fundamentalmente, a dos factores. Por un lado, la "complejidad técnica" del sistema, que "requiere de un conocimiento muy especializado". Por otro, los "escasos recursos personales propios de la DGTIC y un conocimiento limitado de la solución implementada". 

De hecho, la Sindicatura pega un 'tirón de orejas' a la Dirección General de Tecnologías de la Información y las Telecomunicaciones (DGTIC) por no contar con "perfiles técnicos especializados en la tecnología SAP", que es la que ofrece el apoyo al sistema Nefis. "Con los medios disponibles actualmente, el nivel de conocimiento sobre el sistema es insuficiente", constata este órgano. 

En este sentido, apunta a que, la Generalitat, al margen de la oficina de proyectos (PMO), no ha destinado recursos específicos para "asumir progresivamente una base de conocimiento que permita realizar con garantías una supervisión de la calidad del servicio prestado por los proveedores". En cualquier caso, reconoce, que desde la DGTIC "se están tomando medidas para revertir esta situación". Entre ellas, detalla que, durante el primer trimestre de 2025, se ha reorganizado el servicio responsable de Nefis a nivel técnico para facilitar la especialización del personal. 

La personalización del sistema, un "riesgo" para su mantenimiento

Por otro lado, la Sindicatura cree que el elevado nivel de personalización del sistema en su implementación en la administración valenciana "supone un riesgo" un mantenimiento adecuado del mismo. En este sentido, apunta que este hecho "dificulta significativamente" las actualizaciones, cambios de versión o migraciones de la plataforma. 

El órgano fiscalizador, además, advierte que este escenario incrementa la dependencia del proveedor que ha desarrollado el sistema "si no se articulan procedimientos robustos para la gestión adecuada del conocimiento" sobre esta herramienta. 

"Debilidades" en el control sobre el proveedor

La auditoría de la Sindicatura también identifica situaciones en la que la supervisión llevada a cabo sobre el servicio prestado por el proveedor de Nefis "no ha sido efectiva" pese a los "esfuerzos realizados" por la citada oficina de proyectos. Entre las causas que motivan esta "debilidad" en el control, el órgano que encabeza Cucarella destaca la "falta de concreción" sobre los procesos de gestión en el pliego técnico del contrato y la "indefinición" en los controles a realizar para evaluar la seguridad, funcionamiento y configuración del sistema.

Esta institución también apunta a la "escasez de recursos personales" de la PMO, que ve "limitada" su capacidad de supervisión al proveedor. Además, apunta a "debilidades" por parte del personal supervisor en el conocimiento de la tecnología en la que se basa Nefis. 

La adecuación al ENS, una asignatura pendiente

La Sindicatura, además, constata que todavía no se han llevado a cabo las acciones necesarias para la adecuación del sistema Nefis a los requisitos establecidos por el Esquema Nacional de Seguridad (ENS) casi dos años después de su entrada en funcionamiento. "Queda pendiente la realización de la auditoría de certificación exigida por esta normativa para los sistemas de nivel medio y alto", apunta.

Casi una veintena de recomendaciones

Con todo ello, la Sindicatura ha elaborado un total de 17 recomendaciones. Entre ellas, reclama a la DGTIC que actualice y aplique de manera adecuada la norma de gestión de usuarios y perfiles, ya que actualmente la trazabilidad de los mismos es limitada. El informe apunta a que es preciso "evitar el uso de cuentas genéricas con privilegios máximos" y aboga por sustituirlos por perfiles nominativos que permitan observar la acción de cada usuario concreto dentro de la plataforma financiera. También pide que se revisen los procesos para reducir la dependencia de perfiles de administrador de nivel elevado en la operativa diaria. Sobre la resiliencia del sistema, pide que se refuerce el procedimiento de copias de seguridad y que se complete el plan de contingencia existente.

Por otro lado, reclama una estrategia que permita un conocimiento adecuado por parte de la DGTIC sobre la tecnología SAP utilizada en Nefis. En ese sentido, explica que se pueden valorar opciones como la incorporación de especialistas, la formación de personal existente o incluso la "contratación de un tercero" que apoye al personal de la administración dedicado a la supervisión de este servicio. 

La Sindicatura también se dirige a los responsables funcionales de Nefis: Intervención General, la dirección general de Presupuestos y la subdirección general de Tesorería. Entre las recomendaciones a estos entes se encuentra la elaboración de un análisis de impacto que permita ver las necesidades de protección de Nefis. También cree que deben considerar el uso de herramientas específicas para facilitar la gestión de privilegios en Nefis, teniendo en cuenta "la complejidad" de la gestión de usuarios en este sistema. 

Además, este órgano también cree que los responsables funcionales de la plataforma deben cuestionar el mantenimiento y el desarrollo progresivo de Nefis, pues advierte: "Un alto nivel de personalización en este tipo de sistema supone un aumento del riesgo y del coste asociado a su mantenimiento y evolución futura, y penaliza también los costes y aumenta el riesgo asociado a actualizaciones, cambios de versión y migración de la plataforma".