El Gerente de la Universidad Jaume I de Castellón (UJI) lleva liderando la gestión de esa Institución una docena de años. Proviene del mundo académico, donde antes fue vicerrector de infraestructuras y nuevas tecnologías, como catedrático del área de Lenguajes y Sistemas Informáticos. Eso puede explicar que esa Institución esté entre las mejores posicionadas en los aspectos de ciberseguridad. Esta afirmación es intuitiva porque aun no se han generalizado las auditorías de este sector, a diferencia de otras AAPP (mira esta al Ayuntamiento de Valencia) donde ya tenemos suficiente bagaje para comparar. Unos trabajos como el realizado por el Consejo de Cuentas de Castilla y León que son encomiables, junto al destacable del Consello de Contas de Galicia.
Pronto conoceremos el resultado en la Comunidad Valenciana, que para el otoño divulgará un informe de la Sindicatura de Cuentas al respecto. Ya es un elemento del buen gobierno de las AAPP y no hay congreso profesional de auditoría donde no se dedique un módulo a estos aspectos, reconocidos como riesgos principales de la política de seguridad de cualquier organización.
Por eso la Fundación General de la Universidad de Salamanca convocó el 8 de julio una jornada de análisis con los principales protagonistas del asunto y que comentamos a continuación, no sin advertir que el presidente del Consejo de Cuentas de Castilla y León organiza el 9 de octubre una jornada monográfica en la ciudad de León, destinada a la Administración Local.
Es un tema simple de cumplimiento de la legalidad,
Andrés Marzal comenzó su charla recordando que el art. 156.2 de la Ley 40/2015 determina que “El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.”
Así entendido, la norma que regula el Esquema Nacional de Seguridad (ENS: «una norma que se lee y se entiende») lo configura como los «principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.» (Artículo 1).
Pues bien, el portal del CCN-CERT facilita la Guía de adecuación al ENS para Universidades (CCN-STIC 881) en el que se establece un marco común de seguridad de la información en las universidades públicas, que los responsables del control interno (no sólo los informáticos) deben manejar y valorar.
Presentando las mejores prácticas
Andrés realizó un repaso de los artículos 5 a 11 del ENS en paralelo con la implantación de la planificación de la ciberseguridad en su Universidad. Ojo al artículo 11 que exige diferenciar el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. Además, la política de seguridad de la organización detallará las atribuciones de cada de ellos y los mecanismos de coordinación y resolución de conflictos. Os recomiendo ver su interesante presentación, donde explica su implantación junto al artículo de referencia:
Esto nos recuerda que las auditorías que se van a realizar en el futuro tienen un elevado componente de fiscalización de cumplimiento, pues son exigencias perfectamente determinadas en el ENS. Hay otro componente de benchmarking para medir y comparar su aplicación, pero mucho tienen que decir gerentes y letrados al respecto. Y las asignaciones presupuestarias a los programas de ciberseguridad deben estar a la altura.
«Si usted cree que la ciberseguridad es cara, pruebe a jugársela».
El exrector de la Universidad de Harvard, Derek Bok, popularizó el aforismo “If you think education is expensive, try ignorance”, que señala tanto a la educación como a la ignorancia como un coste, pero que la falta de aquella –la ignorancia–- resulta más cara. Con este paralelismo terminó su magnífica charla Andrés Marzal ¿Estarán el resto de las instituciones al mismo nivel que la Universidad UJI? Pronto lo sabremos.
Gracias por comentar con el fin de mejorar