3. Otras disposiciones. . (2023/46-38)
Resolución de 16 de febrero de 2023, de la Cámara de Cuentas de Andalucía, por la que se ordena la publicación del Informe de fiscalización de la Intervención Integral de la Atención Infantil Temprana. 2019.
128 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Número 46 - Jueves, 9 de marzo de 2023
página 4346/42
A20.
La Consejería de Salud y Familias carece de la documentación relativa a la normativa de
seguridad aprobada formalmente, que se establece en la medida 3.2 del apartado 3 del marco
organizativo del Anexo II del RD 3/2010.
A21.
La Consejería de Salud y Familias carece de la documentación relativa a procedimientos de
seguridad aprobada formalmente, incumpliendo con la medida 3.3 del apartado 3 del marco
organizativo del Anexo II del RD 3/2010. Aunque se debe indicar que el Servicio de Informática
ha elaborado procedimientos internos para sus tareas diarias que no están aprobados
oficialmente.
A22.
No existe un proceso de autorización aprobado formalmente y que esté basado en los
requisitos de la medida 3.4 del apartado 3 del marco organizativo del Anexo II del RD 3/2010.
Aunque el Servicio de Informática emplea una herramienta informática para la gestión de
incidencias para registrar las solicitudes y las modificaciones de autorizaciones, es necesario
que esté amparada por la normativa señalada anteriormente.
A23.
No se ha realizado un análisis de riesgos tal y como se establece en la medida 4.1.1 del
apartado 4 del marco organizativo del Anexo II del RD 3/2010. Actualmente se encuentra en
desarrollo, aunque en la fecha de finalización de los trabajos de campo no estaba aprobado.
A24.
Durante el trabajo de campo, se ha comprobado que la Consejería de Salud y Familias no tiene
implementado un SGSI (Sistema de Gestión de Seguridad de la Información), tal y como se
indica en la medida 4.1.2 del apartado 4 del marco organizativo del Anexo II del RD 3/2010.
El servicio de informática tiene creado procedimientos y documentos sobre su plataforma,
pero ninguno puede considerarse tanto por partes como unidos, una arquitectura de
seguridad. Además, el SGSI es imprescindible en la auditoría de sistemas tal como indica el
apartado f del artículo 1.1 del Anexo III. Los procedimientos y documentaciones a las que se
hace referencia son las mínimas que producen una operativa coherente dentro de los trabajos
ordinarios del Servicio de Informática. En modo alguno se trata de procedimientos alineados
a una normativa de seguridad, ya que no existe.
A25.
Se ha detectado que se permite, en algunas ocasiones, el uso de cuentas genéricas, sin
especificar los casos ni qué cuentas. Por otro lado, con respecto a la gestión de cuentas, a
través de los listados de usuarios de Alborada, se ha comprobado que no existe una revisión
periódica que controle la vigencia de los usuarios dados de alta y si los privilegios que poseen
están actualizados a sus ocupaciones. De esta forma se incumple con los apartados 1, 2 y 4b),
de la medida 4.2.1 del apartado 4 del marco organizativo del Anexo II del RD 3/2010.
A26.
La medida 4.2.4 del apartado 4 del marco organizativo del Anexo II del RD 3/2010, establece
los derechos de acceso de cada usuario y los límites de los mismos. Los responsables de cada
unidad son los que otorgan los permisos que han de poseer los diferentes usuarios de los
sistemas. No existe evidencia de un procedimiento oficialmente aprobado que recoja todos
los requisitos marcados por la medida 4.2.4. Además, en el caso de Alborada se ha
comprobado que existen 3.238 usuarios con roles relevantes y que no se han revisado desde
que fueron dados de alta.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00279420
BOJA
Boletín Oficial de la Junta de Andalucía
página 4346/42
A20.
La Consejería de Salud y Familias carece de la documentación relativa a la normativa de
seguridad aprobada formalmente, que se establece en la medida 3.2 del apartado 3 del marco
organizativo del Anexo II del RD 3/2010.
A21.
La Consejería de Salud y Familias carece de la documentación relativa a procedimientos de
seguridad aprobada formalmente, incumpliendo con la medida 3.3 del apartado 3 del marco
organizativo del Anexo II del RD 3/2010. Aunque se debe indicar que el Servicio de Informática
ha elaborado procedimientos internos para sus tareas diarias que no están aprobados
oficialmente.
A22.
No existe un proceso de autorización aprobado formalmente y que esté basado en los
requisitos de la medida 3.4 del apartado 3 del marco organizativo del Anexo II del RD 3/2010.
Aunque el Servicio de Informática emplea una herramienta informática para la gestión de
incidencias para registrar las solicitudes y las modificaciones de autorizaciones, es necesario
que esté amparada por la normativa señalada anteriormente.
A23.
No se ha realizado un análisis de riesgos tal y como se establece en la medida 4.1.1 del
apartado 4 del marco organizativo del Anexo II del RD 3/2010. Actualmente se encuentra en
desarrollo, aunque en la fecha de finalización de los trabajos de campo no estaba aprobado.
A24.
Durante el trabajo de campo, se ha comprobado que la Consejería de Salud y Familias no tiene
implementado un SGSI (Sistema de Gestión de Seguridad de la Información), tal y como se
indica en la medida 4.1.2 del apartado 4 del marco organizativo del Anexo II del RD 3/2010.
El servicio de informática tiene creado procedimientos y documentos sobre su plataforma,
pero ninguno puede considerarse tanto por partes como unidos, una arquitectura de
seguridad. Además, el SGSI es imprescindible en la auditoría de sistemas tal como indica el
apartado f del artículo 1.1 del Anexo III. Los procedimientos y documentaciones a las que se
hace referencia son las mínimas que producen una operativa coherente dentro de los trabajos
ordinarios del Servicio de Informática. En modo alguno se trata de procedimientos alineados
a una normativa de seguridad, ya que no existe.
A25.
Se ha detectado que se permite, en algunas ocasiones, el uso de cuentas genéricas, sin
especificar los casos ni qué cuentas. Por otro lado, con respecto a la gestión de cuentas, a
través de los listados de usuarios de Alborada, se ha comprobado que no existe una revisión
periódica que controle la vigencia de los usuarios dados de alta y si los privilegios que poseen
están actualizados a sus ocupaciones. De esta forma se incumple con los apartados 1, 2 y 4b),
de la medida 4.2.1 del apartado 4 del marco organizativo del Anexo II del RD 3/2010.
A26.
La medida 4.2.4 del apartado 4 del marco organizativo del Anexo II del RD 3/2010, establece
los derechos de acceso de cada usuario y los límites de los mismos. Los responsables de cada
unidad son los que otorgan los permisos que han de poseer los diferentes usuarios de los
sistemas. No existe evidencia de un procedimiento oficialmente aprobado que recoja todos
los requisitos marcados por la medida 4.2.4. Además, en el caso de Alborada se ha
comprobado que existen 3.238 usuarios con roles relevantes y que no se han revisado desde
que fueron dados de alta.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00279420
BOJA
Boletín Oficial de la Junta de Andalucía
