Fiscalizacion.es

Contactar

La gobernanza de la ciberseguridad en las universidades

en ,
Entidades certificadas del ENS en toda España

La Sindicatura de Cuentas de la Comunidad Valenciana ha publicado hoy cinco informes, uno por cada universidad pública de su ámbito competencial, donde analiza la gobernanza de las Tecnoclogías de la Información (TI) y la ciberseguridad de cada una de ellas a fecha 30 de junio de 2024. Un tema que avanzamos durante un seminario monográfico celebrado en la Universidad de Salamanca, el pasado mes de julio, donde pudimos presentar las principales características de un trabajo de este tipo.

La Sindicatura de la Comunidad Valenciana cuenta como soporte de estos trabajos con la UASI (Unidad de auditoría de sistemas de información) creada en 2008 como respuesta a la preocupación sobre el efecto que el uso de la tecnología por los entes públicos a los que fiscalizan y sus riesgos de auditoría.

Del conjunto de los informes se han extraído interesantes conclusiones que comentamos a continuación.

Por qué es importante la gobernanza de las TI y de la ciberseguridad

La Conferencia Sectorial de las Tecnologías de la Información y las Comunicaciones de la Conferencia de Rectores de las Universidades Españolas señalaba en el estudio “Gobierno de las tecnologías de la información en universidades” que las tecnologías de la información se han convertido en un componente crítico de las universidades en todos sus ámbitos (docencia, investigación y administración). Por tanto, deben formar parte de la planificación institucional y ser gobernadas de manera conjunta, para establecer objetivos estratégicos y seleccionar las decisiones a tomar sobre dónde, cuándo y cómo invertir en la tecnología para alcanzar dichos objetivos de manera que se mejore la competitividad y la eficacia de la universidad.

La gobernanza de las TI es un componente clave de la gobernanza corporativa en general y no debe ser considerada como una disciplina por sí sola, sino como la forma en la que las TI crean valor para adaptarse a la estrategia de gobernanza corporativa de la entidad.

La gobernanza de la ciberseguridad es el mecanismo fundamental que permite establecer una adecuada ciberhigiene en las instituciones universitarias.

Por su parte, la guía CCN-STIC 881 desarrollada por el Centro Criptológico Nacional señala que el sistema universitario se ha convertido en un marco de innovación tecnológica abierto y flexible que promociona y difunde el conocimiento a toda la sociedad. Esta evolución conlleva también una mayor facilidad para el tratamiento de gran cantidad de información, lo que genera nuevas amenazas que no deben pasar inadvertidas y esta información debe ser debidamente protegida. La gobernanza de la ciberseguridad es el proceso de establecer y mantener un marco de referencia y apoyar la estructura y los procesos de gestión para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los datos.

La existencia de un sistema de gestión de las tecnologías de la información y de la ciberseguridad que contemple también una adecuada asignación de responsabilidades, da a las entidades múltiples ventajas frente a aquellas que no disponen de un marco de gobernanza correctamente definido. La gobernanza es un elemento indispensable, que complementa la existencia de recursos humanos y técnicos y las medidas de seguridad aplicadas.

Objetivo de la auditoría y criterios de evaluación

El objetivo de la auditoría que hemos realizado ha consistido en evaluar la situación a 30 de junio de 2024 de la gobernanza de las tecnologías de la información y de la ciberseguridad existente en la Universidad de Alicante, Universitat Jaume I de Castelló, Universidad Miguel Hernández de Elche, Universitat Politècnica de València y en la Universitat de València.

Para llegar a una conclusión hemos adoptado los siguientes criterios de evaluación de alto nivel formulados en forma de preguntas referidas a cada universidad:

  • ¿Dispone de un marco de gobernanza de las TI adecuado a sus características y a las buenas prácticas en la materia?
  • ¿Tiene implantados sistemas de gestión de la seguridad de la información acordes con lo establecido en el Esquema Nacional de Seguridad?
  • ¿Ha cumplido con las principales normas en materia de seguridad de la información?

En lo que respecta a la ciberseguridad, la auditoría se ha centrado en los elementos fundamentales para la existencia de una adecuada gobernanza y no hemos realizado ninguna prueba sobre la situación y eficacia de los controles de ciberseguridad que cada universidad tiene desplegados. Por lo tanto, nuestras conclusiones solo se refieren a la situación de la gobernanza de la ciberseguridad existente.

Análogamente, en el ámbito de cumplimiento hemos seleccionado un subconjunto limitado de requisitos establecidos por cada una de las normativas consideradas en el análisis. Consecuentemente, nuestras conclusiones son un indicador del nivel de cumplimiento, pero no son asimilables a una auditoría específica que cubra la totalidad de los aspectos recogidos en la legislación aplicable.

Conclusiones

Como conclusión general, nuestra evaluación de la situación de la gobernanza de las TI y de la ciberseguridad a 30 de junio de 2024 muestra una gran heterogeneidad en cuanto al nivel de madurez que presenta cada una de las universidades analizadas. La valoración global obtenida por cada una de ellas es la que se muestra en el siguiente gráfico.

La Universitat Jaume I de Castelló es la que mejores resultados ha obtenido en nuestra evaluación, ya que dispone de un marco de gobernanza desarrollado durante más de 15 años, que se encuentra sólidamente establecido y que opera de manera sistemática y eficaz. Destacamos, entre otras fortalezas, el compromiso de los órganos de gobierno de la Universitat, que se materializa, entre otros aspectos, en su alto nivel de involucración en los comités de gobernanza y en la importancia otorgada a la ciberseguridad como requisito indispensable para poder cumplir con sus objetivos corporativos.

Hemos observado diferentes prácticas en las universidades que constituyen fortalezas en materia de gobernanza de las TI y de la ciberseguridad, entre las que destacamos:

  • La existencia de la “Cartera de proyectos TI”, como proceso que rige la planificación de las iniciativas TI a realizar durante el año.
  • La involucración de los órganos de gobierno en la toma de decisiones sobre las TI y la ciberseguridad, contando algunas de ellas con la participación en sus comités de los vicerrectores con competencias en TI y la gerencia.
  • La aprobación por parte de los órganos de gobierno de la política de seguridad, pieza fundamental a la hora de desarrollar un sistema de gestión de la seguridad eficaz.

Por otra parte, hemos identificado debilidades en varias universidades que dificultan que la gobernanza sea un proceso sistemático y planificado y, por tanto, que ofrezca una garantía razonable sobre su eficacia. Entre ellas, consideramos que las siguientes son las más significativas:

  • Inexistencia de comités de gobierno de las TI, que operen de manera eficaz y que cuenten con la involucración de los órganos de gobierno de la universidad.
  • Procesos de gestión de riesgos de TI no formalizados o inexistentes, que permitan la identificación y tratamiento no solo de los riesgos relacionados con la seguridad, sino todos aquellos que puedan afectar a los sistemas de información (dependencia frente a personal clave, obsolescencia, carencias en la funcionalidad y usabilidad, etc.).
  • Bajo nivel de cumplimiento del Esquema Nacional de Seguridad. Únicamente dos de las cinco universidades cuentan con la certificación requerida por esta normativa.
  • Carencia de planes estratégicos de TI y de ciberseguridad, que estén aprobados por los órganos de gobierno, de forma que cuenten con su compromiso en la consecución de los objetivos planteados y aseguren la disponibilidad de los recursos necesarios.
  • Debilidades en la planificación y seguimiento de las actividades de formación y concienciación en materia de ciberseguridad, lo que puede comprometer su eficacia.

Sorprende el nivel de incumplimiento de la Universidad Politécnica de la Comunidad Valenciana donde los auditores detectan incumplimientos de las tres normas analizadas en el trabajo: Esquema Nacional de Seguridad, la normativa de protección de datos de carácter personal y Esquema Nacional de Interoperabilidad.

Ver los informes:

Julio García (UCLM) presentando en Salamanca a la Ingeniera Esperanza Pinar, de la Sindicatura valenciana y una de las profesionales más destacadas de las Instituciones de Control Externo.

Descubre más desde Fiscalizacion.es

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Gracias por comentar con el fin de mejorar

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.