Accesibilidad | Intranet | Valencià

Inicio > Informes > Auditoría de ciberseguridad y de los controles generales de tecnologías de la información de la aplicación ORION LOGIS. Ejercicio 2022

18 diciembre 2023 Informes

Auditoría de ciberseguridad y de los controles generales de tecnologías de la información de la aplicación ORION LOGIS. Ejercicio 2022

València,18 de diciembre de 2023.- La Sindicatura de Comptes, de forma simultánea a la realización de la auditoría del control interno y de los sistemas de información de las compras sanitarias, ha llevado a cabo una auditoría de ciberseguridad y de los controles generales de tecnologías de la información (CGTI) relacionados con la aplicación ORION LOGIS, que proporciona soporte a los procesos de compras de bienes y servicios de la Conselleria de Sanidad.

Las principales conclusiones han sido:

- El índice de madurez de los CGTI relacionados con ORION LOGIS es muy deficiente y no aporta un nivel de confianza razonable para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de las transacciones y los datos.

Hemos llegado a la conclusión de que el índice de madurez conjunto de esos controles es del 48,7%, inferior al 80% requerido por el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, que requiere a las administraciones con la categoría de seguridad de los sistemas revisados ese nivel mínimo de madurez.

El detalle del nivel de madurez de cada grupo de controles se muestra en el gráfico siguiente.

- La situación de los CGTI representa, por tanto, un nivel de riesgo sobre la seguridad de la información inaceptable y las deficiencias existentes no permiten confiar en el buen funcionamiento de los controles de procesamiento de información (CPI), por lo que la entidad debe adoptar medidas para reconducir la situación.

- La Conselleria de Sanidad no tiene establecida una adecuada gobernanza de la ciberseguridad, que es el elemento clave para llegar al objetivo de garantizar la seguridad y buen funcionamiento de los sistemas de información, y esto es responsabilidad de los órganos superiores de la Conselleria. Además, se debe reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.

- Las deficiencias en los controles señaladas en el informe especial de 2016 persisten.

La revisión del cumplimiento normativo en materia de seguridad de la información ha puesto de manifiesto las siguientes incidencias:

- Aunque existen trabajos en marcha relacionados con el cumplimiento del ENS, el índice actual de cumplimiento es muy bajo, existiendo los incumplimientos significativos que se detallan en nuestro informe.

- No se ha elaborado el plan de adecuación al Esquema Nacional de Interoperabilidad.

- Existen aspectos pendientes de cumplimiento de la normativa de protección de datos personales.

En el informe realizamos varias recomendaciones tendentes a subsanar las deficiencias observadas en materia de ciberseguridad. De entre ellas destacamos las relacionadas con mejorar la capacidad de recuperación de los sistemas ante posibles desastres o ciberataques mediante sistemas de alta disponibilidad redundados en diferentes ubicaciones y una adecuada gestión de las copias de seguridad.

Para ver el informe completo, haga clic aquí: Auditoría de ciberseguridad y de los controles generales de tecnologías de la información de la aplicación ORION LOGIS. Ejercicio 2022

NOTA

Este resumen pretende ayudar a comprender los resultados de nuestro informe y facilitar el trabajo a los lectores y a los medios de comunicación. Recomendamos la lectura del informe completo para conocer el verdadero alcance del trabajo realizado.

AVISO DE COOKIES: Este sitio web hace uso de cookies con la finalidad de recopilar datos estadísticos anónimos de uso de la web, así como la mejora del funcionamiento y personalización de la experiencia de navegación del usuario. Aceptar Más información