Auditoría de ciberseguridad y de los controles generales de tecnologías de la información del nuevo sistema SEDA del Ayuntamiento de València. Situación al 30 de septiembre de 2023
València, 29 de novembre de 2023.- El sistema de información para la gestión de la información municipal de carácter económico-financiero y contable del Ayuntamiento de València ha sido sustituido en 2022 por la aplicación SEDA. El sistema SEDA es la versión más actual del software ERP de la compañía SAP.
Este cambio ha tenido como objeto la simplificación de los procesos mediante la unificación en un sistema de diversas aplicaciones municipales, el aumento de la eficacia y eficiencia en el cumplimiento de las obligaciones legales y garantizar la fiabilidad de la información económica municipal.
En sintonía con los objetivos estratégicos de la Sindicatura de Comptes, se ha realizado un trabajo de auditoría de ciberseguridad específica sobre el sistema SEDA. Este informe complementa los resultados del Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de València del año 2019 aprobado en 2022.
Como resultado de la revisión efectuada de 44 controles detallados, cabe concluir que el grado de control existente en la gestión de los controles generales de tecnologías de la información relacionados con la ciberseguridad del sistema SEDA alcanza un índice de madurez del 67,2%. Todos los controles analizados deben mejorar para alcanzar el objetivo del 80% establecido por el Esquema Nacional de Seguridad y existen claras posibilidades de mejora para la protección de los sistemas de información.
Contextualizando los resultados obtenidos en la presente auditoría en el marco del Informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana del ejercicio 2021, podemos constatar la posición relativa del nivel de madurez general de los controles de ciberseguridad del sistema SEDA con respecto a la media de los controles básicos de ciberseguridad de los 15 ayuntamientos analizados y con el Ayuntamiento de València.
Asimismo, durante nuestra revisión hemos observado, como parte del proceso de obtención de conocimiento del sistema SEDA, que el sistema cumple con los requisitos funcionales y satisface las necesidades operativas de los usuarios, y que se ha realizado una adecuada gestión del desarrollo y despliegue del sistema SEDA por parte de los responsables del proyecto en el Ayuntamiento y por parte de los adjudicatarios del proyecto y de su dirección.
También hemos realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar la gestión de la ciberseguridad del sistema SEDA. Entre ellas aconsejamos mejorar la configuración de seguridad de los distintos entornos del sistema, finalizar la licitación para la adquisición de un sistema EDR para la protección de los dispositivos finales de usuario del Ayuntamiento, y ampliar el Plan de Contingencia para el sistema SEDA de manera que recoja y formalice la realización periódica de pruebas de recuperación planificadas para todos los tipos de copia existentes.
Con carácter general siguen vigentes las conclusiones y las recomendaciones realizadas en el informe antes citado, la más importante de las cuales se refiere a la necesaria actualización y aprobación de la Política de Seguridad de la Información del Ayuntamiento.
Para ver el informe completo, haga clic aquí: Auditoría de ciberseguridad y de los controles generales de tecnologías de la información del nuevo sistema SEDA del Ayuntamiento de València. Situación al 30 de septiembre de 2023
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos leer el informe completo para conocer el verdadero alcance del trabajo realizado.
