PP: “Sindicatura confirma las graves deficiencias de ciberseguridad en la EMT un año después de la estafa de 4 millones”

La portavoz del Grupo Municipal Popular, María José Catalá, ha advertido hoy que la Auditoria de Ciberseguridad realizada por la Sindicatura de Comptes “confirma las graves deficiencias en esta materia en la EMT un año después de producirse una estafa de 4 millones de euros de las cuentas de la empresa municipal de transportes”.

La auditoría, de más de 45 páginas, urge a la EMT a subsanar con urgencia las deficiencias detectadas y apunta que la EMT dispone de una Política de seguridad de la información (PSI), que no ha sido aprobada por el Consejo de Administración, máximo órgano de dirección de EMT, tal como requieren el ENS y la norma UNE-EN ISO/IEC 27001/27002, ni cumple con todos los requisitos establecidos en ambas normas.

El PP pedirá hoy mismo la convocatoria de un Consejo Extraordinario para que se dé cuenta del informe de la Auditoria de la Sindicatura de Comptes y se   “pongan marcha de urgencia las medidas como venimos reclamando desde que ocurrió la estafa y como ahora urge la misma Sindicatura”.

Catalá ha instado al alcalde Ribó y a sus socios del PSOE a que tomen medidas para apartar ya al concejal Grezzi al frente de la gestión de la EMT. “Ribó no puede seguir protegiendo y avalando esta gestión  desastrosa y ruinosa en la EMT. Desde el PP no sabemos que más tiene que pasar para que se asuman responsabilidades políticas en esta empresa pública que ha sufrido un robo millonario de 4 millones que aún no han sido recuperados, un incendio de más de 26 autobuses en sus cocheras con deficiencias en sus sistemas contraincendios y con unos índices de ciberseguridad 30 puntos por debajo del mínimo establecido”·

La Auditoría recoge hasta 16 recomendaciones para llegar al mínimo de ciberseguridad y otras que no hace públicas para evitar poner en riesgo la seguridad de la entidad. “Las recomendaciones planteadas 12 tienen un coste bajo y 5 un coste medio, ninguna de ella considera que sea un coste elevado, lo que demuestra la falta de gestión y planificación de los responsables de la presidencia y dirección de la EMT”, ha explicado Catalá.   

La auditoría realizada por la Sindicatura de Comptes del año 2020, un año después de la estafa  de 4 millones de euros de sus cuentas, señala que se ha constatado “un bajo índice de madurez de los controles de ciberseguridad en la EMT cuantificado el mismo en un 51,5 % siendo el objetivo el 80%”. Advierte que las deficiencias de control significativas detectadas “deben ser subsanadas con urgencia” por lo que se han efectuado 16 recomendaciones para los que la EMT deberá dedicar los esfuerzos y recursos necesarios.

En cuanto a controles de acceso a datos y programas, los índices aún son más bajos, situados en un 38 %, y se califica que “el proceso existe, pero no se gestiona. El enfoque general de gestión no es organizado. La organización no proporciona un entorno estable. El éxito o fracaso del proceso depende de la competencia y buena voluntad de las personas y es difícil prever la reacción ante una situación de emergencia. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta”.

También dice la auditoria que “frente a la multiplicidad de amenazas existentes se requiere mayor concienciación en relación con la ciberseguridad por parte de los órganos superiores de la EMT y más recursos dedicados a la seguridad de la información, ya que la subsanación de las deficiencias que se señalan a lo largo del informe requiere actuaciones e inversiones, tanto en medios materiales como personales”.

Afirma la Sindicatura que “es necesario actualizar y reforzar la gobernanza de la seguridad de la información, alineándola con lo establecido en el Esquema Nacional de Seguridad. En la auditoría hemos observado que la situación de los controles de acceso privilegiado a los sistemas debe ser mejorada, ya que existen graves deficiencias en los controles relacionados con los usuarios administradores de algunos sistemas que proporcionan soporte a procesos críticos de negocio”.

Respecto a la estafa de los 4 millones una parte de la Auditoría dice que “no existe un procedimiento para la gestión de eventos e incidentes de seguridad que recoja el plan de actuación tras su detección. En este procedimiento la definición de los roles necesarios para asumir las diferentes responsabilidades, la asignación de dichos roles al personal competente, el escalado al responsable de la gestión de los mismos o la asignación de recursos para el análisis, respuesta e investigación de los Incidentes y la comunicación de los mismos a partes interesadas internas y externas”.

Los auditores de  la Sindicatura apuntan “al  Consejo de Administración de la EMT que es el órgano responsable de que existan unos adecuados controles internos, siendo el máximo responsable de la seguridad de los sistemas de información y las comunicaciones”