III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2021-14784)
Resolución de 15 de junio de 2021, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe Anual de la Comunidad Autónoma de la Región de Murcia, ejercicio 2018.
243 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109723
estableciéndose un plazo de dos años para adecuar los sistemas a lo dispuesto en dicha
modificación. Es por tanto, a partir de octubre del 2017, cuando las distintas Administraciones
debían estar preparadas, disponiendo de una política de seguridad que reuniese al menos los
requisitos mínimos establecidos en el art. 11 y siguientes de la citada norma.
En la Administración General de la CARM, la DG de Informática (DGIC), ha asumido el desarrollo
de la política de seguridad de la información para todas las consejerías y los OOAA, siendo de
aplicación para el resto de los organismos y entes la O. de 28 de marzo de 2017 del Consejero de
Hacienda y Administración Pública al no disponer de una política de seguridad propia.
Del análisis realizado sobre el cumplimiento por la Administración Regional en el ejercicio
fiscalizado de los requisitos exigidos en la normativa señalada se han obtenido los siguientes
resultados:
- Si bien se ha elaborado en la Administración de la CARM una política de seguridad en los
términos previstos en el RD 3/2010, a través de la citada O. de 28 de marzo de 2017, del
Consejero de Hacienda y Administración Pública y se continua trabajando en la elaboración de
procedimientos de seguridad para las distintas áreas técnicas, dicha política se encuentra
pendiente de un mayor desarrollo, siendo recomendable extender a las consejerías y entidades
la elaboración de manuales de uso de los medios electrónicos y la redacción de procedimientos
y normativa de seguridad, tal y como ha llevado a cabo la Consejería de Agua, Agricultura y
Medio Ambiente.
- No se ha formalizado documentalmente la gestión de los riesgos para los sistemas de
información contable y los sistemas de gestión de los tributos propios de la CARM.
- No se han establecido mecanismos de supervisión para verificar que se cumplen los
procedimientos establecidos en materia de seguridad en los citados sistemas, excepto en la
parte de infraestructuras de sistemas informáticos.
- En lo que respecta a la Declaración de aplicabilidad, no se ha elaborado un documento con las
medidas de seguridad seleccionadas y por tanto no se ha dado publicidad a las mismas en las
correspondientes sedes electrónicas.
- La seguridad de los sistemas requiere, adicionalmente a la atención y revisión continua, una
auditoría por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida,
habiéndose llevado a cabo estos controles solo sobre la ATRM (sistemas de gestión de los
tributos propios) pero no respecto a los sistemas de información contable de la CARM, lo que
exige establecer procedimientos de auditoria y revisión que verifiquen que los sistemas
proporcionan evidencia suficiente y relevante según lo previsto en el art. 34 del RD 3/2010.
- El RD 3/2010, de 8 de enero establece como principios básicos no solo la seguridad integral, la
gestión de riesgos y la prevención de los mismos, sino también una reevaluación periódica que
asegure que los sistemas defensivos funcionen y estén preparados para hacer frente a las
nuevas amenazas que puedan surgir, preocupación que es reforzada en el art. 24 apartado 2
del RD 951/2015 de 23 de octubre, que vuelve a incidir en la importancia de que se dispongan
procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los
sistemas. En este sentido, las evaluaciones iniciales realizadas en 2017 en la implantación de
nuevas aplicaciones han abarcado exclusivamente a las infraestructuras de los sistemas
informáticos de las Consejerías y OOAA, pero no del resto de las entidades dependientes de la
CARM.
- No se ha creado el Comité de Seguridad de la Información, ni los Comités de Seguridad
Delegados según contempla la O. de 28 de marzo de 2017, con la excepción del Comité
Delegado creado en la Consejería de Agua, Agricultura, Ganadería, Pesca y Medio Ambiente.
cve: BOE-A-2021-14784
Verificable en https://www.boe.es
Núm. 217
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109723
estableciéndose un plazo de dos años para adecuar los sistemas a lo dispuesto en dicha
modificación. Es por tanto, a partir de octubre del 2017, cuando las distintas Administraciones
debían estar preparadas, disponiendo de una política de seguridad que reuniese al menos los
requisitos mínimos establecidos en el art. 11 y siguientes de la citada norma.
En la Administración General de la CARM, la DG de Informática (DGIC), ha asumido el desarrollo
de la política de seguridad de la información para todas las consejerías y los OOAA, siendo de
aplicación para el resto de los organismos y entes la O. de 28 de marzo de 2017 del Consejero de
Hacienda y Administración Pública al no disponer de una política de seguridad propia.
Del análisis realizado sobre el cumplimiento por la Administración Regional en el ejercicio
fiscalizado de los requisitos exigidos en la normativa señalada se han obtenido los siguientes
resultados:
- Si bien se ha elaborado en la Administración de la CARM una política de seguridad en los
términos previstos en el RD 3/2010, a través de la citada O. de 28 de marzo de 2017, del
Consejero de Hacienda y Administración Pública y se continua trabajando en la elaboración de
procedimientos de seguridad para las distintas áreas técnicas, dicha política se encuentra
pendiente de un mayor desarrollo, siendo recomendable extender a las consejerías y entidades
la elaboración de manuales de uso de los medios electrónicos y la redacción de procedimientos
y normativa de seguridad, tal y como ha llevado a cabo la Consejería de Agua, Agricultura y
Medio Ambiente.
- No se ha formalizado documentalmente la gestión de los riesgos para los sistemas de
información contable y los sistemas de gestión de los tributos propios de la CARM.
- No se han establecido mecanismos de supervisión para verificar que se cumplen los
procedimientos establecidos en materia de seguridad en los citados sistemas, excepto en la
parte de infraestructuras de sistemas informáticos.
- En lo que respecta a la Declaración de aplicabilidad, no se ha elaborado un documento con las
medidas de seguridad seleccionadas y por tanto no se ha dado publicidad a las mismas en las
correspondientes sedes electrónicas.
- La seguridad de los sistemas requiere, adicionalmente a la atención y revisión continua, una
auditoría por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida,
habiéndose llevado a cabo estos controles solo sobre la ATRM (sistemas de gestión de los
tributos propios) pero no respecto a los sistemas de información contable de la CARM, lo que
exige establecer procedimientos de auditoria y revisión que verifiquen que los sistemas
proporcionan evidencia suficiente y relevante según lo previsto en el art. 34 del RD 3/2010.
- El RD 3/2010, de 8 de enero establece como principios básicos no solo la seguridad integral, la
gestión de riesgos y la prevención de los mismos, sino también una reevaluación periódica que
asegure que los sistemas defensivos funcionen y estén preparados para hacer frente a las
nuevas amenazas que puedan surgir, preocupación que es reforzada en el art. 24 apartado 2
del RD 951/2015 de 23 de octubre, que vuelve a incidir en la importancia de que se dispongan
procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los
sistemas. En este sentido, las evaluaciones iniciales realizadas en 2017 en la implantación de
nuevas aplicaciones han abarcado exclusivamente a las infraestructuras de los sistemas
informáticos de las Consejerías y OOAA, pero no del resto de las entidades dependientes de la
CARM.
- No se ha creado el Comité de Seguridad de la Información, ni los Comités de Seguridad
Delegados según contempla la O. de 28 de marzo de 2017, con la excepción del Comité
Delegado creado en la Consejería de Agua, Agricultura, Ganadería, Pesca y Medio Ambiente.
cve: BOE-A-2021-14784
Verificable en https://www.boe.es
Núm. 217
