III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2021-14784)
Resolución de 15 de junio de 2021, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe Anual de la Comunidad Autónoma de la Región de Murcia, ejercicio 2018.
243 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109724
- La protección de la información almacenada y en tránsito en entornos inseguros (redes
abiertas, dispositivos periféricos, portátiles) requiere actuaciones vinculadas a los sistemas de
información y su categorización ENS. No obstante, con la excepción de la Consejería de Agua,
Agricultura, Ganadería, Pesca y Medio Ambiente en el resto de Consejerías no se ha
acreditado el grado de cumplimiento de dichas exigencias.
- Para asegurar con plenas garantías la protección de los datos personales, se hace necesario la
trazabilidad de los accesos de los usuarios. Según se ha informado en la fiscalización, a junio
de 2020 se están recabando los logs de accesos a los sistemas de información para identificar
y detectar ataques de ciberdelincuentes, pero al depender la trazabilidad de los accesos de los
usuarios de las funciones implementadas por cada sistema, se desconoce el estado de cada
uno de ellos. En cualquier caso, es preciso señalar que todos los organismos en los que se han
abordado proyectos de adecuación al ENS disponen de un análisis de riesgos y declaración de
aplicabilidad.
- No se ha realizado a nivel global un control y evaluación de las medidas adoptadas relativas a
la autorización, restricciones y control de accesos a los sistemas, así como a la protección de
las instalaciones en áreas separadas y cerradas, habiéndose llevado a cabo en solo una parte
de los organismos.
- Se desconoce la aplicación de las guías de seguridad elaboradas por el Centro Criptológico
Nacional al no haberse elaborado auditorías concretas al respecto, si bien dichas
recomendaciones han sido comunicadas a los responsables funcionales de los proyectos de
adecuación.
El acceso electrónico de los ciudadanos a los servicios públicos regulado por la Ley 11/2007, de
22 de junio, reconoce la necesidad de asegurar la interoperabilidad de los sistemas y aplicaciones
empleados por las Administraciones públicas, creándose en el art. 42.1 el Esquema Nacional de
Interoperabilidad (ENI) para garantizar el adecuado nivel de interoperabilidad técnica y
organizativa de los sistemas y aplicaciones empleados por las Administraciones públicas. En
consecuencia, se aprueba el RD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica.
En el proceso de revisión de la situación en la que se encuentra la CARM respecto a los
requerimientos legales establecidos en las citadas normas se destaca lo siguiente:
- No se dispone de un catálogo de estándares aplicables que permita conocer a los ciudadanos
qué aplicaciones o sistemas pueden utilizar para relacionarse con la CARM debido a que la
relación con los ciudadanos se está llevando a cabo a través de los formularios de la sede
electrónica.
- No se han establecido ni publicado modelos de datos de intercambio que tengan el carácter de
comunes, puesto que todo el intercambio de información se ha realizado mediante modelos de
datos definidos por la AGE.
- Durante el periodo fiscalizado no se ha aprobado y publicado la política de firma electrónica y
de certificados de la Administración Regional, ni se ha establecido las características técnicas y
operativas de la lista de prestadores de servicios de certificación de confianza, dado que en la
práctica se está aplicando la política de la AGE, si bien la información facilitada al final de la
fiscalización recoge la previsión de una resolución de la DG de Informática Corporativa con la
política de firma electrónica y de certificados de la Administración Regional a partir de julio del
2020.
- A pesar de haberse iniciado la implantación de un gestor documental corporativo basado en
INSIDE (SANDRA) que albergará todos los documentos y expedientes electrónicos de la
cve: BOE-A-2021-14784
Verificable en https://www.boe.es
Núm. 217
Viernes 10 de septiembre de 2021
Sec. III. Pág. 109724
- La protección de la información almacenada y en tránsito en entornos inseguros (redes
abiertas, dispositivos periféricos, portátiles) requiere actuaciones vinculadas a los sistemas de
información y su categorización ENS. No obstante, con la excepción de la Consejería de Agua,
Agricultura, Ganadería, Pesca y Medio Ambiente en el resto de Consejerías no se ha
acreditado el grado de cumplimiento de dichas exigencias.
- Para asegurar con plenas garantías la protección de los datos personales, se hace necesario la
trazabilidad de los accesos de los usuarios. Según se ha informado en la fiscalización, a junio
de 2020 se están recabando los logs de accesos a los sistemas de información para identificar
y detectar ataques de ciberdelincuentes, pero al depender la trazabilidad de los accesos de los
usuarios de las funciones implementadas por cada sistema, se desconoce el estado de cada
uno de ellos. En cualquier caso, es preciso señalar que todos los organismos en los que se han
abordado proyectos de adecuación al ENS disponen de un análisis de riesgos y declaración de
aplicabilidad.
- No se ha realizado a nivel global un control y evaluación de las medidas adoptadas relativas a
la autorización, restricciones y control de accesos a los sistemas, así como a la protección de
las instalaciones en áreas separadas y cerradas, habiéndose llevado a cabo en solo una parte
de los organismos.
- Se desconoce la aplicación de las guías de seguridad elaboradas por el Centro Criptológico
Nacional al no haberse elaborado auditorías concretas al respecto, si bien dichas
recomendaciones han sido comunicadas a los responsables funcionales de los proyectos de
adecuación.
El acceso electrónico de los ciudadanos a los servicios públicos regulado por la Ley 11/2007, de
22 de junio, reconoce la necesidad de asegurar la interoperabilidad de los sistemas y aplicaciones
empleados por las Administraciones públicas, creándose en el art. 42.1 el Esquema Nacional de
Interoperabilidad (ENI) para garantizar el adecuado nivel de interoperabilidad técnica y
organizativa de los sistemas y aplicaciones empleados por las Administraciones públicas. En
consecuencia, se aprueba el RD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica.
En el proceso de revisión de la situación en la que se encuentra la CARM respecto a los
requerimientos legales establecidos en las citadas normas se destaca lo siguiente:
- No se dispone de un catálogo de estándares aplicables que permita conocer a los ciudadanos
qué aplicaciones o sistemas pueden utilizar para relacionarse con la CARM debido a que la
relación con los ciudadanos se está llevando a cabo a través de los formularios de la sede
electrónica.
- No se han establecido ni publicado modelos de datos de intercambio que tengan el carácter de
comunes, puesto que todo el intercambio de información se ha realizado mediante modelos de
datos definidos por la AGE.
- Durante el periodo fiscalizado no se ha aprobado y publicado la política de firma electrónica y
de certificados de la Administración Regional, ni se ha establecido las características técnicas y
operativas de la lista de prestadores de servicios de certificación de confianza, dado que en la
práctica se está aplicando la política de la AGE, si bien la información facilitada al final de la
fiscalización recoge la previsión de una resolución de la DG de Informática Corporativa con la
política de firma electrónica y de certificados de la Administración Regional a partir de julio del
2020.
- A pesar de haberse iniciado la implantación de un gestor documental corporativo basado en
INSIDE (SANDRA) que albergará todos los documentos y expedientes electrónicos de la
cve: BOE-A-2021-14784
Verificable en https://www.boe.es
Núm. 217
