Gobernanza y ciberseguridad en la universidad pública*.










            Julio García Muñoz
            Director de la Unidad de Control Interno

            Óscar González Martín
            Auditor Interno de Sistemas de Información

            Auditores Certificados de Sistemas de Información CISA
            Universidad de Castilla-la Mancha




            Revista Auditoría Pública nº 86
            Diciembre 2025. Páginas: 179-186









            Resumen: La universidad pública vive hoy una auténtica re-  Abstract: Public universities are undergoing a silent revolu-
            volución silenciosa: cada matrícula, cada expediente y cada   tion: every enrollment, academic record, and research pro-
            investigación transitan por redes digitales donde la seguri-  ject flows through digital networks where security is cons-
            dad se pone a prueba a diario. Este artículo examina cómo   tantly tested. This article explores how governance and
            gobernanza y ciberseguridad se entrelazan para sostener la   cybersecurity intersect to sustain institutional credibility in
            credibilidad de la institución en un entorno de riesgos invi-  a landscape of invisible but persistent risks. Drawing on re-
            sibles pero constantes. A partir de ejemplos reales –desde   al-life examples –from a suspicious laptop to a ransomwa-
            un portátil sospechoso hasta un ataque de ransomware en   re attack during exam season– it highlights the interplay
            plena época de exámenes– se muestra cómo la auditoría in-  between internal audit and external oversight bodies. The
            terna y los órganos de control externo dialogan y se comple-  analysis underscores the relevance of the Basic Cyberse-
            mentan. El análisis pone de relieve el valor de los Controles   curity Controls as a shared language that transforms abs-
            Básicos de Ciberseguridad como un lenguaje común capaz   tract threats into verifiable practices. The message is clear:
            de convertir amenazas difusas en prácticas verificables. La   universities that aspire to remain trusted hubs of knowle-
            conclusión es clara: la universidad que quiera seguir siendo   dge must strengthen not only their digital infrastructure
            referente de conocimiento debe reforzar no solo su tecno-  but also their culture of security and accountability. In the
            logía, sino también su cultura de seguridad y rendición de   digital era, what goes unchecked eventually takes control.
            cuentas. Porque, en la era digital, lo que no se controla acaba
            controlándote.





            Palabras Clave: Gobernanza, Ciberseguridad, Universidad   Keywords:  Governance, Cybersecurity,  Public  university,
            pública, Auditoría interna, Controles básicos.      Internal audit, Basic controls.



            *Artículo procedente de una comunicación del Congreso de Órganos de Control Externo Autonómicos, 2025. Córdoba.



                                                                                                              179