La Generalitat desatiende a sus empresas frente a los ciberataques

«Todas las entidades del sector público instrumental de la Generalitat, incluyendo los organismos autónomos, dependen de las tecnologías de la información y las comunicaciones para el desarrollo de sus funciones y la prestación de servicios públicos a la ciudadanía», advierten desde la Sindicatura, que reconoce las «numerosas ventajas en términos de eficiencia y accesibilidad», pero advierte de la exposición «a una gama cada vez más amplia y sofisticada de ciberamenazas. Un incidente de ciberseguridad puede tener consecuencias significativas, incluyendo la interrupción de servicios críticos, la pérdida o filtración de información sensible (incluyendo datos personales de los ciudadanos), el daño reputacional y posibles consecuencias legales y económicas».

Frente a los peligros, la institución dirigica por Vicent Cucarella aboga por una gobernanza de la ciberseguridad en la Generalitat que sea «robusta y eficaz», algo que «no es una mera cuestión técnica, sino un pilar estratégico fundamental para una sólida ciberdefensa».

La institución ha analizado y evaluado la situación en la docena de organismos autónomos de la Generalitat a 31 de diciembre de 2024. Se analizan los riesgos de cada entidad, se comprueban los recursos empleados en ese ámbito y, además, se comprueba el grado de aplicación del decreto aprobado este mismo año por el que se establece la política de seguridad de la información (PSI) de la Administración de la Generalitat, la constatación del modo en que los organismos se han adherido a la nueva normativa.

La sindicatura concluye que solo dos entidades (la Agencia Tributaria Valenciana y la Agencia Valenciana de Fomento y Garantía Agraria) ofrecían a 31 de diciembre de 2024 «un nivel de madurez de la gobernanza de la ciberseguridad razonable».

«Los órganos de gobierno y dirección del resto de organismos no han asumido de forma efectiva sus responsabilidades en materia de gobernanza de la ciberseguridad, dando por supuesto, erróneamente, que correspondían íntegramente a la Dirección General de Tecnologías de la Información y las Comunicaciones y muestran un bajo nivel de madurez en su gobernanza de la ciberseguridad», advierte el informe, que también señala que, en relación a la aplicación del nuevo decreto, cinco organismos no había pedido adherirse a las nuevas políticas autonómicas de seguridad ni aprobado un protocolo propio.

En este sentido, desde la Sindicatura se alerta de que el Consell, a través de su Dirección General de Tecnologías de la Información o de las comisiones interdepartamentales, no ha atendido «debidamente sus responsabilidades».

Por todo ello, la institución auditora recomienda incrementar los recursos para garantizar la ciberseguridad que establece la propia Generalitat «así como para llevar a cabo las acciones necesarias para subsanar las debilidades identificadas y dar cumplimiento a la normativa vigente». En cualquier caso, desde la Sindicatura se insta a los departamentos competentes del Consell a ejercer sus funciones, lo que desliza una dejación que incrementa los riesgos de cualquier tipo de ciberataque. Igualmente, a los propios responsables de los organismos autónomos se les apremia a que modernicen sus políticas de seguridad.

Fuentes del propio Consell admiten que la gestión de datos de los ciudadanos es una de las grandes asignaturas pendientes de la Generalitat para evitar usos inadecuados que puedan propiciar, entre otras cosas, la mercantilización de esos datos que los ciudadanos aportan a la Administración y que en ocasiones se desconoce en qué manos caen.