3. Otras disposiciones. . (2024/5-28)
Resolución de 21 de diciembre de 2023, de la Cámara de Cuentas de Andalucía, por la que se ordena la publicación del Informe de fiscalización de cumplimiento de la asistencia jurídica gratuita. Ejercicio 2021.
80 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 5 - Lunes, 8 de enero de 2024
página 39/73
ALEGACIÓN Nº 10, AL PUNTO 43 (ALEGACIÓN ADMITIDA PARCIALMENTE)
Por parte de los programadores del Sistema Informático de Gestión de la Justicia Gratuita, TEMISA,
se comunica que esto es en cierta medida inexacto puesto que, al quedar categorizado TEMISA en
el nivel medio ENS, le corresponde una certificación de conformidad, más allá de una declaración.
De hecho, se remite al punto V.1 de la citada Resolución de 13 de octubre de 2016, relativa a
certificación (no declaración). Por supuesto, bien es cierto señalar que, actualmente, no se dispone
de tal certificación.
La obtención de la certificación, según ordena el Esquema Nacional de Seguridad, es un proceso
largo en el cual llevamos tiempo inmersos. A día de hoy, no ha sido posible completar la adecuación
e implantar todos controles de aplicación, de manera que no se podría afrontar con garantías una
auditoría oficial conducente a la obtención del certificado.
Tanto más es así, cuando se trata de un sistema de categoría media, que aplican mayores
restricciones en los controles existentes, a los que se suman nuevos controles. Muchos de ellos
resultan de compleja resolución, por ejemplo, y sin ánimo de exhaustividad:
•
En relación al «Puesto de trabajo despejado» [mp.eq.1] + R1. Esto implica que, en todo
lugar, se dispongan cajoneras o armarios con llave y sean utilizados eficazmente, sin
olvidos. O bien, disponer al personal en despachos cerrados. Es un control difícil de
implantar y sobre todo, de garantizar su implantación, bastando un simple paseo del
eventual auditor por las instalaciones para que un intento de certificación quede
irremediablemente repudiado.
•
En cuanto a los «Datos personales» [mp.info.1]. En el caso particular de este sistema de
información, desde la perspectiva de protección de datos, debieran cifrarse las bases de
datos, entre otros aspectos. Para ello, se está a la espera de que la Agencia Digital de
Andalucía disponga de un espacio de almacenamiento sobre el que se pueda realizar este
cifrado de manera eficiente en recursos, para lo cual existen expedientes de contratación
en curso.
No obstante lo anterior, sí se han implantado una cantidad significativa de controles, por lo que se
está más cerca del cumplimiento de la totalidad de controles que de ninguno, como erróneamente
pudiera interpretarse de la ausencia de certificación. De llegar el momento en que pudiera estimarse
superados el 100 % de controles, se procederá a la certificación, la cual se articulará como contrato
basado en el Acuerdo Marco «Servicios de Auditorías de Certificación, de Auditorías Técnicas, y de
Formación y Concienciación en el ámbito de la ciberseguridad», que actualmente está en proceso
de licitación en la Agencia Digital de Andalucía.
TRATAMIENTO DE LA ALEGACIÓN
00295002
El resto de la alegación confirma que no se dispone de dicha certificación, para a continuación
exponer algunas razones por las que no se puede afrontar la auditoría oficial conducente a la
obtención del mencionado certificado. El final de la alegación manifiesta, sin aportar evidencias,
que se está cerca de cumplir con todos los controles exigidos por el ENS.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
Boletín Oficial de la Junta de Andalucía
Número 5 - Lunes, 8 de enero de 2024
página 39/73
ALEGACIÓN Nº 10, AL PUNTO 43 (ALEGACIÓN ADMITIDA PARCIALMENTE)
Por parte de los programadores del Sistema Informático de Gestión de la Justicia Gratuita, TEMISA,
se comunica que esto es en cierta medida inexacto puesto que, al quedar categorizado TEMISA en
el nivel medio ENS, le corresponde una certificación de conformidad, más allá de una declaración.
De hecho, se remite al punto V.1 de la citada Resolución de 13 de octubre de 2016, relativa a
certificación (no declaración). Por supuesto, bien es cierto señalar que, actualmente, no se dispone
de tal certificación.
La obtención de la certificación, según ordena el Esquema Nacional de Seguridad, es un proceso
largo en el cual llevamos tiempo inmersos. A día de hoy, no ha sido posible completar la adecuación
e implantar todos controles de aplicación, de manera que no se podría afrontar con garantías una
auditoría oficial conducente a la obtención del certificado.
Tanto más es así, cuando se trata de un sistema de categoría media, que aplican mayores
restricciones en los controles existentes, a los que se suman nuevos controles. Muchos de ellos
resultan de compleja resolución, por ejemplo, y sin ánimo de exhaustividad:
•
En relación al «Puesto de trabajo despejado» [mp.eq.1] + R1. Esto implica que, en todo
lugar, se dispongan cajoneras o armarios con llave y sean utilizados eficazmente, sin
olvidos. O bien, disponer al personal en despachos cerrados. Es un control difícil de
implantar y sobre todo, de garantizar su implantación, bastando un simple paseo del
eventual auditor por las instalaciones para que un intento de certificación quede
irremediablemente repudiado.
•
En cuanto a los «Datos personales» [mp.info.1]. En el caso particular de este sistema de
información, desde la perspectiva de protección de datos, debieran cifrarse las bases de
datos, entre otros aspectos. Para ello, se está a la espera de que la Agencia Digital de
Andalucía disponga de un espacio de almacenamiento sobre el que se pueda realizar este
cifrado de manera eficiente en recursos, para lo cual existen expedientes de contratación
en curso.
No obstante lo anterior, sí se han implantado una cantidad significativa de controles, por lo que se
está más cerca del cumplimiento de la totalidad de controles que de ninguno, como erróneamente
pudiera interpretarse de la ausencia de certificación. De llegar el momento en que pudiera estimarse
superados el 100 % de controles, se procederá a la certificación, la cual se articulará como contrato
basado en el Acuerdo Marco «Servicios de Auditorías de Certificación, de Auditorías Técnicas, y de
Formación y Concienciación en el ámbito de la ciberseguridad», que actualmente está en proceso
de licitación en la Agencia Digital de Andalucía.
TRATAMIENTO DE LA ALEGACIÓN
00295002
El resto de la alegación confirma que no se dispone de dicha certificación, para a continuación
exponer algunas razones por las que no se puede afrontar la auditoría oficial conducente a la
obtención del mencionado certificado. El final de la alegación manifiesta, sin aportar evidencias,
que se está cerca de cumplir con todos los controles exigidos por el ENS.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
