Ciberseguridad. Los ricos también lloran.

en por Antonio Arias Rodriguezen Auditoría, e-Administración

Esta semana se celebró la primera parte del seminario gratuito sobre «Tendencias en Auditoría Pública: Ciberseguridad. Controles Antifraude en fondos UE«, organizado por Máster Oficial en Auditoría Pública (MUAP) de la Universidad de Castilla la Mancha junto al grupo editorial Wolters Kluwer. Una alianza entre dos instituciones que han destacado mucho organizando actividades sobre las principales preocupaciones de la profesión y presentando las tendencias actuales en la materia.

Durante el seminario escuché algunas frases notables para reflexionar en materia de ciberseguridad. Una de ellas diferenciaba dos tipos de organizaciones: las que han sido atacadas y las que van a ser atacadas (o incluso “reatacadas”). Asimismo, también se distinguía entre entidades que saben que han sido atacadas y las que no saben que han sido atacadas (ramsonware latente). Está descripción del escenario actual nos las dejó Antonio Minguillón, Director del Gabinete Técnico en Sindicatura de Cuentas de la Comunidad Valenciana y uno de los profesores más activos y reconocidos del Máster (MUAP). 

El máster se ha desarrollado este curso 2020-2021 con enorme éxito de contenidos académicos, acrecentado por el elevado nivel tanto de los ponentescada semana un congreso!) como de los profesionales asistentes que desean profundizar en las herramientas de trabajo de la auditoría en el sector púbico. Un lugar de encuentro casi diario on line que tiene como eje clave el control de los fondos europeos, con 2 de sus 7 asignaturas. Entre los temas que despiertan mayor interés,  dentro del análisis de los riesgos generales, destaca la ciberseguridad. En lo que queda de julio, se encuentra abierta la de matrícula. para su segunda edición que comenzará en septiembre.

Participaban en el seminario de esta semana los profesores del máster Julio García y Antonio Minguillón, junto al representante de Deloitte, Luis Miguel Fraile, experto en transformación digital y Matilde Castellanos Garijo,  Viceinterventora General de la Junta Comunidades de Castilla- La Mancha.

Luis Miguel Fraile (Deloitte)

Si tienes responsabilidades en la gestión de fondos UE, el próximo miércoles 14 de julio asistiremos (admite también inscripción gratuita para esta segunda parte) sobre “Controles antifraude en la Gestión de Fondos Europeos” que se desarrolla a partir de las 10:30 horas.

A nadie se le escapa que el contexto actual eleva el riesgo de fraude y corrupción extraordinariamente, con su antesala, el conflicto de interés. Por eso es necesario conocer las obligaciones UE en materia antifraude así como las principales herramientas de autoevaluación de riesgo de fraude de la Comisión Europea, los canales de denuncia en la esfera pública, el rol del órgano de control Interno así como la colaboración privada en controles antifraude y en la implantación y gestión del canal de denuncias.

Moderados por Julio García Muñoz, Director Ejecutivo Unidad Control Interno UCLM (y coordinador del MUAP) y Matilde Castellanos Garijo, Viceinterventora General de la Junta Comunidades de Castilla- La Mancha, escucharemos los siguientes ponentes:

  • Mercedes Rodriguez Tárrida. Subdirectora General. Servicio Nacional de Coordinación Antifraude. Intervención General de la Administración del Estado.
  • Beatriz García Moreno. Investigadora experta en políticas Whistleblowing.
  • Claudio Interdonato. Responsable para Francia y España del EQS Group.

No existe coste cero en seguridad de la información

Antonio Minguillón es uno de los grandes expertos de los OCEX en materia de ciberseguridad. Durante la primera parte del seminario presentó la experiencia de la Sindicatura de Comptes de la Comunidad Valenciana aderezada con algunas aportaciones personales fruto de años de trabajos en este sector. Entre los últimos el informe de auditoría sobre los controles básicos de ciberseguridad (CBCS) de los principales ayuntamientos  de la Comunidad relativo a los ejercicios 2019 y 2020.

Mantener una ciberhigiene adecuada y un sólido sistema de protección frente a las ciberamenazas es más necesario que nunca. La epidemia de COVID-19 ha mostrado con absoluta claridad la total dependencia de los sistemas de información y las comunicaciones que existe actualmente en la gestión pública lo que exige un sólido sistema de protección frente a ciberataques.

En materia de ciberseguridad se distingue entre dos tipos de organizaciones: las que han sido atacadas y las que van a ser atacadas

De su exposición destaco las siguientes conclusiones:

Cumplimiento normativo insatisfactorio

Animó a los interventores a comprobar el cumplimiento de legalidad en materia relacionada con la ciberseguridad. Recordemos que el Real Decreto 424/2017 sobre régimen jurídico del control interno en las entidades del Sector Público Local, en su artículo 33.4.e entiende que “para la aplicación de los procedimientos de auditoría se podrá “Verificar la seguridad y fiabilidad de los sistemas informáticos que soportan la información económico-financiera y contable”. Dando un paso más allá, suele recordar Enrique Benítez Palma, otro gran experto en estos menesteres, que  hoy se admite pacíficamente que «el cumplimiento será tecnológico o no será»

En el citado informe de la Sindicatura se puso de manifiesto la existencia de incumplimientos generalizados de esa normativa, siendo el índice medio de cumplimiento del CBCS 8 del 44,2%. Los máximos órganos de dirección de los ayuntamientos tienen la responsabilidad de garantizar un nivel adecuado de cumplimiento de las normas legales y deben impulsar las medidas necesarias para subsanar la deficiente situación existente.

Minguillon mostró una consulta en la página web del centro criptológico nacional que muestra que solo 9 ayuntamientos, de todos los entes locales españoles, están certificados oficialmente como cumplidores del esquema nacional de seguridad. Además solo se refieren a una pequeña parte de sus sistemas. Un escenario que me parece escandaloso.

No existe coste cero en materia de seguridad de la información

Es necesario un mayor compromiso y concienciación de los órganos de gobierno de los ayuntamientos con la seguridad de los sistemas de información y las comunicaciones, lo que inevitablemente conlleva una mayor inversión económica y en recursos humanos cualificados.

El tamaño no importa en ciberseguridad

En el gráfico adjunto se muestra de forma resumida los niveles de madurez observados para los ocho controles básicos en el conjunto de los quince ayuntamientos, y el índice de madurez (IM) medio de cada CBCS observado en ellos.

De un total de 120 controles básicos revisados en los quince mayores ayuntamientos, solo cuatro controles alcanzan el nivel de madurez N3 establecido como objetivo en el Esquema Nacional de Seguridad. La clasificación no tiene nada que ver con la importancia de las poblaciones.

5 comentarios en “Ciberseguridad. Los ricos también lloran.

  2. Pingback: El análisis de los ciberriesgos como rutina del auditor. CCIL21 (2) – Fiscalizacion.es

  3. Pingback: Conclusiones del Congreso de Control Interno Local (CCIL, 6) – Fiscalizacion.es

  4. Pingback: 2021 batió el récord de ciberincidentes europeos – Fiscalizacion.es

  5. Pingback: El auditor público ya no es lo que era … hablemos de lo que será – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.