Varapalo a la dirección de Grezzi 14 meses después del fraude millonario

La Sindicatura de Comptes suspende la política de ciberseguridad de la EMT

El órgano fiscalizador constata "un bajo nivel de madurez de los controles de ciberseguridad" de la compañía

José Miguel Vigara | @jmvigara

04·02·21 | 11:54 | Actualizado a las 18:43

1
Noticia guardada en tu perfil
Ver noticias guardadas

Giuseppe Grezzi comparece ante la prensa ante la puerta de la sede central de la EMT. F. Calabuig

La Sindicatura de Comptes acaba de publicar un informe sobre la auditoría que ha realizado en la Empresa Municipal de Transportes de València, correspondiente al ejercicio de 2020, en materia de ciberseguridad y a raíz de los fallos detectados durante el fraude de los 4 millones. El resultado es que la empresa pública, cuyo presidente y máximo responsable es Giuseppe Grezzi, suspende con rotundidad. Entre las conclusiones de este documento, el órgano autonómico fiscalizador afirma que ha constatado: “Un bajo nivel de madurez de los controles de ciberseguridad, cuantificado en un 51,% cuando el objetivo es del 80%”.

Justo cuando se acaba de cumplir un año y cuatro meses desde que la EMT sufriera un robo que le han costado a los valencianos 4 millones de euros y en el que fallaron claramente los protocolos de la ciberseguridad, la Sindicatura de Comptes señala que ante “la multiplicidad de amenazas existentes se requiere mayor concienciación en relación a la ciberseguridad por parte de los órganos superiores de la EMT”, que son la presidencia - Grezzi-, la gerente Marta Serrano y el Consejo de Administración.

"Se requiere mayor concienciación en relación a la ciberseguridad por parte de los órganos superiores de la EMT”, que son el presidente Giuseppe Grezzi, la gerente Marta Serrano y el Consejo de Administración.

Esta institución autonómica ha realizado hasta 16 recomendaciones a la EMT, que según especifica el informe al que ha tenido acceso Levante-EMV, no se han atendido totalmente pese a que la Sindicatura insta a la empresa pública a mejorar una serie “de deficiencias de control significativas, que hay que solucionar con urgencia".

El dictamen de la Sindicatura de Comptes, se focaliza en las debilidades de los controles de ciberseguridad de EMT y los centra en las áreas de ingresos por transporte de viajeros, de contabilidad y de tesorería. Además, la Sindicatura advierte de “vulnerabilidades” en los sistemas informáticos y en las cuentas de correos, circunstancias que en las conclusiones de la Comisión de Investigación sobre el robo de los 4 millones ya se denunciaron porque pudieron contribuir a la comisión de esta estafa.

La Sindicatura advierte de “vulnerabilidades” en los sistemas informáticos y en las cuentas de correo, circunstancias que en la Comisión de Investigación sobre el robo de los 4 millones ya se denunciaron porque pudieron favorecer la operativa de la estafa.

Por ejemplo, dice la institución, “los sistemas de información no están debidamente protegidos”, en la EMT, por lo que la valoración de los controles básicos de ciberseguridad se sitúan en un 53,4%, cifra insuficiente para la Sindicatura, pero mejor que la que obtuvo el Ayuntamiento de València, en 2019, cuando la Sindicatura lo auditó y lo calificó con un 47,5%. Uno de los aspectos que sale peor parado tiene que ver con “el control sobre las cuentas de usuarios administradores”. La auditoría le otorga “un deficiente nivel por lo cual se tendrán que dedicar esfuerzos y recursos para mejorarlo” y en ese sentido, “la valoración global de este control consigue un índice de madurez del 38,6%”.

El dictamen del órgano autonómico explica que se ha detectado “el uso de cuentas no nominativas compartidas en algunos de los sistemas revisados, cosa que dificulta la trazabilidad de las acciones en caso de incidentes”. En esa línea, los auditores de la Sindicatura avisan: “Se han identificado como deficiencias graves de control la inadecuada aplicación del principio de mínimo privilegio en aplicaciones descentralizadas que soportan procesos críticos de negocio, la configuración incorrecta de las cuentas de administración de los servicios de mantenimiento externos de determinados sistemas revisados y un control insuficiente en la definición y gestión de los mecanismos de autentificación utilizados por los sistemas”.

Implantar una cultura de ciberseguridad y planes de formación

A la vista de los resultados obtenidos en la revisión de los controles de ciberseguridad, “consideramos que, aunque existe un cierto nivel de control, hay posibilidades de mejora, por lo cual es necesario que tanto el Consejo de Administración como el Pleno del Ayuntamiento de València, en su condición de junta general de la sociedad, tomen conciencia de la necesidad de conseguir los niveles exigidos por la normativa para la protección de los sistemas de información ante la multiplicidad de amenazas existentes, a fin de garantizar la consecución de los objetivos de la entidad, la prestación adecuada de servicios a los ciudadanos y la protección de la información y del resto de los activos de los sistemas de información”. La cultura de ciberseguridad se tiene que trasladar “desde los órganos de gobierno a todos los niveles y departamentos de la EMT”.

Por ende, se tiene que desarrollar “un plan de formación y concienciación en materia de seguridad de la información que implique y motive a los empleados, desde los puestos operativos hasta la alta dirección, teniendo presente los riesgos a los cuales se exponen los diferentes colectivos y adaptando el contenido a cada uno”.

Sobre la gestión de incidentes

Sobre la gestión de incidentes, la Sindicatura insta a la EMT “a aprobar formalmente un procedimiento para la gestión de acontecimientos e incidentes de seguridad”, como los ocurridos durante el fraude de los 4 millones, entre el 3 y el 23 de septiembre de 2019, “que recoja el plan de actuación después de su detección”. El procedimiento tendría que incluir: “la definición de los roles necesarios para asumir las diferentes responsabilidades, la asignación de estos roles al personal competente, el escalado al responsable de su gestión, la toma de decisiones urgentes, la asignación de recursos para el análisis, la respuesta e investigación de los incidentes, la comunicación a partes interesadas internas y externas, la implantación de medidas para evitar incidentes similares y la mejora continua del proceso de gestión”.

Insta a cumplir la legalidad

Por ende, la auditoría realizada por este organismo de la Generalitat concluye que la EMT no cumple con la legalidad en varios aspectos. Así, ordena “implantar las medidas necesarias para que el sistema de gestión de la seguridad de la información de la EMT sea coherente con los requisitos del Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad, o equivalentes”. Específicamente, la EMT tiene que: “Actualizar la Política de seguridad de la información actual, de forma que satisfaga todos los requisitos establecidos en el Ente y se adecue a las prácticas de la norma UNE-Informe de auditoría de ciberseguridad de la Empresa Municipal de Transportes de València, SAU”.

El órgano de la Generalitat ordena “implantar las medidas necesarias para que el sistema de gestión de la seguridad de la información de la EMT sea coherente con el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad".

En especial, tiene que ser aprobada por el Consejo de Administración, de acuerdo con el artículo 11 del Ente y las recomendaciones de la norma UNE-EN ISO/IEC 27001. El Consejo de Administración tiene que designar “los diferentes actores en materia de seguridad de la información, en particular el Comité de Seguridad de la Información y el responsable de seguridad”, entre otras. La gestión de la seguridad de los sistemas de información exige establecer “una organización de la seguridad, que tiene que determinar con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que las soporto y los mecanismos de coordinación y resolución de conflictos”. En relación con la protección de datos personales, la EMT tiene que adaptarse a lo que establece el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre. En particular, tiene que: “Aplicar la totalidad de medidas organizativas y técnicas necesarias para proteger los datos personales, de acuerdo con el artículo 24.1 del RGPD”; y “Planificar y ejecutar las auditorías de cumplimiento en materia de protección de datos”.

Reacciones de la oposición

“Ribó no se toma en serio la EMT a pesar de que nos cuesta 100 millones de euros anuales a los valencianos”, ha declarado el portavoz de Ciudadanos (Cs), Fernando Giner, tras conocer las advertencias de la Sindicatura de Comptes sobre las graves deficiencias en la ciberseguridad de la EMT. “Todas las auditorías de los últimos años señalan las deficiencias en ciberseguridad de la empresa. Sufrió un fraude 4 millones de euros por deficiencias en este ámbito”, ha criticado Giner, quien ha recordado que “en la Comisión de Investigación, puesta en marcha para esclarecer el fraude de los 4 millones, se eludió cualquier mención a la ciberseguridad”. “La empresa ha seguido funcionando como si no hubiera pasado nada”, ha denunciado. “Nos preguntamos qué más tiene que pasar para que Ribó tome cartas en el asunto”, ha cuestionado Giner. “Por nuestra parte, vamos a insistir en el cese de Grezzi y en que el Ayuntamiento intervenga la empresa, porque creemos que es la única manera de empezar a mejorar las cosas”, ha dicho. Para concluir, el portavoz naranja ha recordado que “hay una petición de peritaje informático de la EMT, realizada en julio de 2020, y todavía no sabemos nada al respecto”.

Por su parte, la portavoz del Grupo Municipal Popular, María José Catalá, ha advertido que la Auditoria de Ciberseguridad realizada por la Sindicatura de Comptes “confirma las graves deficiencias en esta materia en la EMT un año después de producirse una estafa de 4 millones de euros de las cuentas de la empresa municipal de transportes”. La auditoría, de más de 45 páginas, urge a la EMT a subsanar con urgencia las deficiencias detectadas y apunta que la EMT dispone de una Política de seguridad de la información (PSI), que no ha sido aprobada por el Consejo de Administración, máximo órgano de dirección de EMT, tal como requieren el ENS y la norma UNE-EN ISO/IEC 27001/27002, ni cumple con todos los requisitos establecidos en ambas normas. El PP pedirá hoy mismo la convocatoria de un Consejo Extraordinario para que se dé cuenta del informe de la Auditoria de la Sindicatura de Comptes y se “pongan marcha de urgencia las medidas como venimos reclamando desde que ocurrió la estafa y como ahora urge la misma Sindicatura”.

Catalá ha instado al alcalde Ribó y a sus socios del PSOE a que tomen medidas "para apartar ya al concejal Grezzi al frente de la gestión de la EMT". “Joan Ribó no puede seguir protegiendo y avalando esta gestión desastrosa y ruinosa en la EMT. Desde el PP no sabemos que más tiene que pasar para que se asuman responsabilidades políticas en esta empresa pública que ha sufrido un robo millonario de 4 millones que aún no han sido recuperados, un incendio de más de 26 autobuses en sus cocheras con deficiencias en sus sistemas contraincendios y con unos índices de ciberseguridad 30 puntos por debajo del mínimo establecido”. La Auditoría recoge hasta 16 recomendaciones para llegar al mínimo de ciberseguridad y otras que no hace públicas para evitar poner en riesgo la seguridad de la entidad. “Las recomendaciones planteadas 12 tienen un coste bajo y 5 un coste medio, ninguna de ella considera que sea un coste elevado, lo que demuestra la falta de gestión y planificación de los responsables de la presidencia y dirección de la EMT”, ha explicado Catalá.