Se entiende por gobernanza de la ciberseguridad el conjunto de responsabilidades y actividades que tienen como objetivo proporcionar una dirección estratégica en esta materia, garantizar que se logren los objetivos, verificar que los riesgos se gestionen adecuadamente y comprobar que se utilicen los recursos de una forma responsable.
El Programa Anual de Actuación de 2025 de la Sindicatura de la Comunidad Valenciana incluyó realizar una auditoría de la gobernanza de la ciberseguridad existente en el conjunto de los 60 entes que forman el Sector Público Institucional a 31 de diciembre de 2024. Los lectores de esta bitácora ya saben el interés que despiertan los trabajos de esta institución en este área (véase Universidades) donde han sido pioneros y cuenta con una de las principales unidades del sector.
Dada la amplitud y diversidad de entes, dividieron el trabajo en grupos homogéneos, para centrarse en evaluar la adecuación del marco de gobernanza de la ciberseguridad existente al marco normativo y a las buenas prácticas aplicables.
La información se recabó inicialmente con referencia a 31 de diciembre de 2024 pero fue actualizada a 31 de diciembre de 2025 para poder evaluar la situación de las entidades en una fecha más reciente.
El resultado es el Informe La gobernanza de la ciberseguridad en el sector público instrumental de la Generalitat Valenciana: Entidades de derecho público y sociedades mercantiles de la Generalitat. Situación a 31 de diciembre de 2025.
La prensa recoge con prevención las conclusiones del trabajo que un año más, “redunda en la crítica sobre las escasas medidas tomadas por la mayoría de entes públicos para protegerse ante los problemas derivados de la hiperconexión y los trámites digitales”.
Actualmente, todas las entidades del sector público instrumental de la Generalitat, dependen de las tecnologías de la información y las comunicaciones para el desarrollo de sus funciones y la prestación de servicios públicos a la ciudadanía. Sin embargo, para la Sindicatura esta creciente digitalización, si bien ofrece numerosas ventajas en términos de eficiencia y accesibilidad, también expone a las entidades a una gama cada vez más amplia y sofisticada de ciberamenazas. Un incidente de ciberseguridad puede tener consecuencias significativas, incluyendo la interrupción de servicios críticos, la pérdida o filtración de información sensible (incluyendo datos personales de los ciudadanos), el daño reputacional y posibles consecuencias legales y económicas.
En este escenario, una gobernanza de la ciberseguridad robusta y eficaz no es una mera cuestión técnica, sino un pilar estratégico fundamental para una sólida ciberdefensa.
Conclusiones
El objetivo de la auditoría consistió en analizar y evaluar la adecuación del marco de gobernanza de la ciberseguridad existente en las quince entidades y las quince sociedades de la Generalitat a 31 de diciembre de 2025, y realizar recomendaciones para su mejora.
Las principales conclusiones son:
- Únicamente presentan un nivel de madurez de la gobernanza de la ciberseguridad adecuada, superior al 80%, dos entidades: Infraestructures i Serveis de Telecomunicacions i Certificació, SA (ISTEC) y la Ciudad de las Artes y de las Ciencias, SA (CACSA).
- 5 entidades ofrecen un indicador de madurez entre el 50% y el 80%, que es una situación deficiente.
- 23 entidades tienen un índice de madurez inferior al 50%, lo que refleja una situación muy deficientede la gobernanza de la ciberseguridad, que en algunos casos es prácticamente inexistente.
El índice de madurez de “Continuidad del servicio y ciberresiliencia” es especialmente malo, ya que 28 entidades no alcanzan siquiera el índice del 50%. Esta situación es preocupante, ya que se constata que la mayor parte de entidades carece de previsiones y planes para hacer frente de una forma rápida y ordenada a un posible incidente de seguridad grave, que les permita recuperar la información y su actividad en un tiempo razonable.
En definitiva, hace falta un liderazgo activo y comprometido en materia de seguridad de la información tanto de las consellerias a las que están adscritas las entidades fiscalizadas como de los propios órganos de gobierno y dirección de las entidades de derecho público y sociedades mercantiles. El informe recuerda que deben velar por el establecimiento de una gobernanza de la ciberseguridad adecuada, cada órgano en su ámbito de competencias.
Recuerda la Sindicatura que el artículo 12 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, a cada entidad formular su política de seguridad de la información (PSI) y aprobarla formalmente por el órgano superior de la entidad (que es la responsable de su seguridad) y abarcar la totalidad de sistemas de información que dan soporte a la actividad de la entidad. Además:
- Debe ser revisada y actualizada periódicamente.
- Debe ser accesible (publicada y dada a conocer) a todo el personal con acceso a los sistemas de información de la entidad.
Muy interesante resulta la lectura de las páginas 19 y siguientes sobre el comité de seguridad de la información, que se constituye como un órgano colegiado de la gobernanza, algunos de cuyos miembros ostentan roles especializados dentro de la organización de la seguridad. Es la máxima autoridad en la organización respecto a las decisiones de seguridad que afecten a los sistemas que manejan información o prestan algún servicio. Su estructura, composición y normas básicas de funcionamiento deben constar en esa planificación y estará integrado por vocales de las áreas de la entidad que sean relevantes para la finalidad del comité, tales como la persona designada como delegado de protección de datos o del departamento jurídico o de recursos humanos, entre otras.
Deja un comentario