El Palau de Congresos de València contrata con un año de retraso a una empresa de ciberseguridad tras el robo de 200.000 euros
El consejo de administración del Palau de Congresos aprobó este jueves la contratación de una empresa especializada en ciberseguridad por un montante de 60.000 euros, así como la presentación de una denuncia contra la empresa que le llevaba la contabilidad como presunta responsable del robo de cerca de 200.000 euros que sufrió el organismo el pasado mes de septiembre. El Palau dio un plazo y una prórroga a la compañía para que reintegrara el dinero, algo que no ha hecho.
La presidenta del Palacio de Congresos y concejala de Turismo, Innovación y Captación de Inversiones, Paula Llobet ha explicado que pidieron un informe a la asesoría jurídica del Ayuntamiento para ver si “veía indicios” para poder presentar una demanda y ha afirmado que han determinado que “sí que hay indicios y motivos para que el Ayuntamiento pueda demandar a esta empresa proveedora de servicios”.
Sin embargo, ha precisado que “todavía no está cerrada la vía con la empresa, que ha reclamado a su seguro que asuma la responsabilidad”, para alcanzar un acuerdo extrajudicial y ha precisado que la aseguradora se ha comprometido a dar respuesta en un plazo de cuatro días hábiles desde el 8 de octubre, por lo que tiene de plazo hasta el lunes 14 de octubre dará respuesta y nos va a contestar la semana que viene.
“En el caso de que el seguro asumiera la responsabilidad, si hemos recuperado el dinero, no habría lugar a realizar las acciones procesales. En el caso de que no sea así, haríamos lo máximo posible para recuperar el dinero”, ha sostenido Llobet.
Como informó este diario, el equipo de Gobierno municipal del PP y de Vox que dirige la alcaldesa María José Catalá convocó a la prensa el pasado 18 de septiembre para dar explicaciones sobre el fraude de 194.305 euros detectado ocho días antes. De momento se han podido recuperar 46.000 euros.
Llobet informó entonces de que el Ayuntamiento de València había pedido a la empresa externa que gestiona la contabilidad y pagos del Palacio de Congresos, víctima del robo, que restituyera “ya” a la entidad el dinero defraudado, o de lo contrario sería denunciada por los servicios jurídicos municipales, en un plazo que no concretó.
Llobet aseguró que la mercantil se “extralimitó” ya que accedió a un cambio de cuenta solicitado por un supuesto proveedor sin cumplir con el protocolo interno para el pago a terceros. El Palacio de Congresos tiene externalizada desde la pasada legislatura la contabilidad y todo lo necesario para su pleno desarrollo operativo y óptimo funcionamiento y cuenta con ese protocolo interno “de obligado cumplimiento” que deben seguir las empresas externas cuando realicen pagos a proveedores. Ya a finales de 2020 se produjo otro robo de 21.000 euros.
En este sentido, el concejal de Compromís, Pere Fuset, ha lamentado que se haya retrasado un año la contratación de medidas de ciberseguridad puesto que, tal y como ha recordado, en noviembre de 2022 ya se puso en marcha el Plan Director de Ciberseguridad del Ayuntamiento de València que también implicaba la toma medidas en los organismos autónomos y entidades del sector público local. En abril de 2023, se aprobó la creación del Comité de Seguridad de la Información del Ayuntamiento para articular la gobernanza de la ciberseguridad.
Sin embargo, la contratación de medidas adicionales se autorizó este jueves. El proceso de licitación arrancó a finales de julio y la firma de la adjudicación se ha retrasado al reconocer la directora gerente cierta amistad con la gerente de la empresa propuesta como adjudicataria (Civired), por lo que por iniciativa propia propuso su sustitución por otra persona del organismo habilitada para proceder a la firma del contrato.
Según la licitación publicada, el objeto del contrato es la “adquisición de un sistema de gestión unificada de amenazas (UTM) y la implementación de sistemas de monitoreo integral para todos los racks de comunicaciones IT y la electrónica de red asociada, asegurando el cumplimiento con el Esquema Nacional de Seguridad (ENS), así como la implementación de medidas de securización física y un plan de ciberseguridad anual”.
Para Fuset, “es inexplicable que, a pesar de contar con una detallada guía encargada por el anterior Gobierno municipal, un organismo como el Palau de Congresos de València no cuente aún con un plan de ciberseguridad como el que impulsó para el Ayuntamiento” y ha añadido: “Solo después de que Compromís preguntara por el estado de este plan en la pasada comisión el PP se ha decidido a contratar algo que debería haber sido una prioridad. Llegan más de un año tarde y parece ser que esta circunstancia es extensiva al resto de empresas y organismos municipales. Algo que aún no podemos concretar dado que el Gobierno de Catalá aún no nos ha facilitado la información”.
El concejal del Grupo Municipal Socialista Javier Mateo ha explicado que “por responsabilidad” votado a favor de que las acciones judiciales que va a emprender la dirección del Palacio aunque ha advertido de que su formación “mantiene su desconfianza porque en todo el proceso se ha intentado ocultar la estafa a la ciudadanía y no se ha facilitado el acceso a la información a los consejeros”.
Ante esta situación, ha insistido en que “por responsabilidad” los socialistas apoyan las acciones que se van a emprender pero ha dejado claro que, “en caso de que no haya avances y no se aclare lo sucedido sin perjuicio para las arcas públicas”, exigirán “responsabilidades políticas”.
Igualmente ha insistido en la necesidad de que se lleve a cabo un peritaje informático que ayude a aclarar lo sucedido en la estada de 200.000 y a evitar que se comentan los mismos errores. Mateo ha lamentado la negativa de la dirección del Palacio de Congresos a llevar a cabo esta auditoría. “Se trata de una medida de prevención y de transparencia, algo en lo que el Gobierno de Catalá no destaca”, ha ironizado.
La Sindicatura califica la ciberseguridad de “insuficiente”
El índice de madurez general de los controles básicos de ciberseguridad del Ayuntamiento de València ha registrado “progresos parciales” al pasar del 58,2% en 2021 al 63,5% al cierre de 2023, pero siguen siendo “insuficientes” y deben “mejorar para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad”. Además, el Centro de Operaciones de Ciberseguridad (SOC) “no se encuentra operativo”.
Estas son las principales conclusiones del informe de la Sindicatura de Comptes sobre las actuaciones realizadas por el Ayuntamiento de València de las subvenciones destinadas a la transformación digital y modernización, en el marco del Plan de Recuperación, Transformación y Resiliencia (PRTR) alineado con el Fondo Next Generation EU, y del seguimiento realizado las recomendaciones sobre los controles básicos de ciberseguridad a 31 de diciembre del 2023.
Además, considera que el Ayuntamiento de València tiene establecida “una aceptable gobernanza” de la ciberseguridad, pero tiene “pendiente separar la responsabilidad de la seguridad de los sistemas de información de la responsabilidad sobre la explotación de estos sistemas”.
La sindicatura concluye que de las diez recomendaciones realizadas en su informe anterior al Ayuntamiento para subsanar las deficiencias, una no se ha atendido y nueve lo han sido sólo parcialmente.
0