Inici > Informes > Auditoria de ciberseguretat i dels controls generals de tecnologies de la informació de l’aplicació ORION LOGIS. Exercici 2022
18 December 2023 Informes

Auditoria de ciberseguretat i dels controls generals de tecnologies de la informació de l’aplicació ORION LOGIS. Exercici 2022

València, 18 de desembre de 2023.- La Sindicatura de Comptes, de manera simultània a la realització de l’auditoria del control intern i dels sistemes d’informació de les compres sanitàries, ha dut a terme una auditoria de ciberseguretat i dels controls generals de tecnologies de la informació (CGTI) relacionats amb l’aplicació ORION LOGIS, que proporciona suport als processos de compres de béns i serveis de la Conselleria de Sanitat.

Les principals conclusions han sigut:

- L’índex de maduresa dels CGTI relacionats amb ORION LOGIS és molt deficient i no aporta un nivell de confiança raonable per a garantir la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de les transaccions i les dades.

Hem arribat a la conclusió que l’índex de maduresa conjunt d’aquests controls és del 48,7%, inferior al 80% requerit pel Reial Decret 311/2022, pel qual es regula l’Esquema Nacional de Seguretat, que requereix a les administracions amb la categoria de seguretat dels sistemes revisats aquest nivell mínim de maduresa.

El detall del nivell de maduresa de cada grup de controls es mostra en el gràfic següent.


- La situació dels CGTI representa, per tant, un nivell de risc sobre la seguretat de la informació inacceptable i les deficiències existents no permeten confiar en el bon funcionament dels controls de processament d’informació (CPI), per la qual cosa l’entitat ha d’adoptar mesures per a reconduir la situació.

- La Conselleria de Sanitat no té establida una adequada governança de la ciberseguretat, que és l’element clau per a arribar a l’objectiu de garantir la seguretat i bon funcionament dels sistemes d’informació, i això és responsabilitat dels òrgans superiors de la Conselleria. A més, s’ha de reforçar el suport en forma de recursos humans i pressupostaris dedicats a la seguretat de la informació.

- Les deficiències en els controls assenyalades en l’informe especial de 2016 persisteixen.

La revisió del compliment normatiu en matèria de seguretat de la informació ha posat de manifest les incidències següents:

- Encara que hi ha treballs en marxa relacionats amb el compliment de l’ENS, l’índex actual de compliment és molt baix, i hi ha els incompliments significatius que es detallen en el nostre informe.

- No s’ha elaborat el pla d’adequació a l’Esquema Nacional d’Interoperabilitat.

- Hi ha aspectes pendents de compliment de la normativa de protecció de dades personals.

En l’informe realitzem diverses recomanacions tendents a esmenar les deficiències observades en matèria de ciberseguretat, entre les quals destaquem las relacionades amb la millora de la capacitat de recuperació dels sistemes davant possibles desastres o ciberatacs per mitjà de sistemes d’alta disponibilitat redundats en diferents ubicacions i una adequada gestió de les còpies de seguretat.


Per a vore l'informe complet, feu clic ací: Auditoria de ciberseguretat i dels controls generals de tecnologies de la informació de l’aplicació ORION LOGIS. Exercici 2022


 NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir l’informe complet per a conéixer el veritable abast del treball realitzat.

Veure més notícies