Antonio Minguillón Roy es Director del Gabinete Técnico de la Sindicatura de Cuentas de la Comunidad Valenciana y un ponente habitual de los congresos y jornadas destinadas a los profesionales del control (aquí el penúltimo) donde incorpora siempre su conocido “gráfico de riesgos” tecnológicos en las organizaciones (Minguimapa, vamos a llamarle) que también presentó en Toledo, durante el Congreso sobre la Ley Orgánica 2/2023 del Sistema Universitario, Gobernanza, Control Interno y Régimen Económico.
Así, durante el panel titulado La fiscalización de los Sistemas de Información en la Universidad, moderado por Ismael García Varea, Vicerrector de Transformación y Estrategia Digital de la UCLM, participaron tres profesores del Master de Auditoría Pública que se imparte on line por la citada Universidad.
Antonio cerró la ronda de intervenciones, con su intervención Transformación digital, ciberseguridad y auditoría de sistemas de información. Enlazó con los dos temas de los anteriores ponentes, destacando en primer lugar tres características esenciales que desde el punto de vista del auditor tiene un proceso de transformación digital:
a) la reingeniería de procesos, que los simplifica desde el punto de vista funcional pero hace que estén íntimamente ligados y soportados por la tecnología, a diferencia de procesos analógicos tradicionales que únicamente se han informatizado y que se encuentran en una etapa intermedia de la administración electrónica;
b) la complejidad tecnológica, ya que los procesos de transformación digital implican el uso de tecnologías avanzadas cada vez más complejas desde el punto de vista tecnológico;
y c) la hiperconexión de sistemas, vivimos en un mundo cada vez más conectado y los entornos de administración electrónica avanzada son básicamente entornos en los que todo está conectado con todo a través de internet lo que a su vez provoca el aumento exponencial de la superficie de exposición frente a las ciberamenzas y la necesidad de adoptar medidas de ciberseguridad.
Minguillón sintetizó gráficamente esta situación de aumento de los riesgos de auditoría derivados el uso de la tecnología en el clásico minguimapa superior. Volveremos luego sobre ello.
La sesión académica fue iniciada por Magdalena Cordero Valdavida, Directora de Información, Innovación y Entorno de Trabajo en el Tribunal de Cuentas Europeo hasta enero de 2023. Nos habló de “la transformación digital de las organizaciones públicas: una vista desde el control”.
Expuso su visión (formada desde la atalaya del TCEu) presentando la perspectiva de cuál ha sido el proceso acelerado de la evolución de la digitalización en el sector público y el impacto en el futuro de la profesión auditora y la necesidad de adoptar las soluciones y herramientas avanzadas que la tecnología proporciona.
En su opinión, el buen nivel de los servicios públicos digitales alcanzado por las Administraciones españolas, en comparación con otros países de la Unión Europea, se verá impulsado por las nuevas, y grandes, inversiones procedentes de los Fondos de Nueva Generación. Esta transformación no está exenta de riesgos y necesita de una arquitectura legal que la Unión Europea está trabajando con intensidad. La ley de la Inteligencia Artificial (IA), por ejemplo, presenta un modelo basado en el riesgo, que requiere certificación para permitir el uso de algoritmos decisionales en ciertos contextos.
El uso de IA por el sector público obliga a establecer mecanismos de control para generar confianza en este mundo de datos y algoritmos, para facilitar la rendición de cuentas. Las licitaciones públicas, los procesos de selección de personal, o evaluaciones académicas, (todos ellos escenarios bastante probables), se van a beneficiar de una mayor eficiencia debido a la IA, y esto deberá ser acompañado de las garantías suficientes. Insistió en preparar a la Administración Pública para adaptarse a este nuevo mundo, que cambia a gran velocidad. Se requiere un cambio cultural importante: nuevo liderazgo, distintos métodos de trabajo, diferentes competencias. Esto es un gran reto en nuestra administración de hoy.
Terminó recordando a Seneca entre aplausos: “La suerte es lo que ocurre cuando la preparación coincide con la oportunidad”. Así que hay que estar preparados para afrontar el reto de generar confianza en este mundo de datos y algoritmos.
Continuó Mario Piattini Velthuis. Catedrático de Tecnología y Sistemas Informáticos, con su disertación sobre el Gobierno universitario y gobierno de la tecnología, que encaja plenamente en el lema del congreso y trató un tema al que no se le da la importancia que objetivamente tiene en entidades tan dependientes de la tecnología y los sistemas de información como las universidades. Destacó como el gobierno de las TI, que es un componente clave de la gobernanza corporativa en general, se interesa por la entrega de valor derivada de la transformación digital y la mitigación del riesgo de negocio que resulta de dicha transformación digital.
Los tres ponentes destacaron especialmente en estos entornos complejos la necesidad de adoptar en las entidades medidas de gobernanza sobre las TI y medidas específicas de ciberseguridad enmarcadas en una gobernanza de la ciberseguridad adecuadamente estructuradas:
Todos señalaron la importancia de la auditoría de sistemas de información y de la ciberseguridad para garantizar la existencia de una seguridad razonable sobre el buen funcionamiento de todo el conjunto de Sistemas de información.
Dos informes
Enlazando con el tema general de la gobernanza sobre las TI, la Sindicatura de Cuentas de la CV ha publicado a principios de septiembre un interesante informe sobre “Auditoría de la gestión del proyecto NEFIS”, con el sugestivo subtítulo “Implantación del nuevo sistema económico-financiero de la Generalitat Valenciana: un proyecto necesario e inaplazable”. En este informe la Sindicatura señala que NEFIS (el Nuevo Sistema de Gestión Económico Financiero de la Generalitat Valenciana) es la principal iniciativa de transformación digital que la Generalitat Valenciana está llevando a cabo y destaca algunos datos relevantes del proyecto, en cuadro adjunto.
Entre los criterios desarrollados por la Sindicatura para evaluar la gestión de este gran proyecto TI se encuentra en análisis de la gobernanza de proyectos TI y la gestión de riesgos, y resume los puntos fuertes y débiles de esa gestión en el siguiente cuadro:
En resumen, un informe muy interesante, no solo por la materia en sí misma, si no por la metodología utilizada para evaluar el proyecto que con las necesarias adaptaciones es reutilizable en otras auditorías similares.
Por último, destacar para los muy cafeteros el reciente Informe global de la fiscalización sobre el entorno de control existente en los ayuntamientos mayores de 50.000 habitantes y en las diputaciones de la Comunidad Valenciana, relativo a los ejercicios 2019-2021. Destaco el APÉNDICE 7 dedicado al Área de los controles básicos de ciberseguridad, que resume la puntuación obtenida por cada entidad dentro de ese área , el siguiente gráfico representa en orden decreciente el porcentaje que esta supone sobre la puntuación máxima posible:
El área de los controles básicos de ciberseguridad se desglosa en la revisión de los siguientes controles:
- Inventario y control de dispositivos físicos
- Inventario y control de software autorizado y no autorizado
- Proceso continuo de identificación y remediación de vulnerabilidades
- Uso controlado de privilegios administrativos
- Configuraciones seguras del software y hardware
- Registro de la actividad de los usuarios
- Copias de seguridad de datos y sistemas
Replica a Ciberseguridad, mapas de riesgos y gobernanza – Fiscalizacion.es Cancelar la respuesta