Page 183 - REVISTA AUDITORÍA PUBLICA 86
P. 183

REVISTA AUDITORÍA PÚBLICA / 86






         De una parte, ante procesos de matriculación online, el   Práctica  de  Fiscalización  de  los  OCEX  (GPF-OCEX
         auditor interno podría verificar cifrado y registros inalte-  5313), que propone 8 Controles Básicos de Cibersegu-
         rables. El OCEX revisa si existen pruebas de continuidad   ridad (CBCS) como marco común.
         ante caídas del sistema.
                                                             Quédense con estos titulares: la guía es muy útil. Es
         Por otro lado, en la compra de licencias científicas, el   técnicamente robusta, pues se parte de los controles de
         auditor interno revisa que las credenciales no se compar-  referencia internacional (CIS Controls ), y se alinea con el
                                                                                             4
         tan y que haya soporte contratado. El OCEX evalúa si las   marco español (ENS ). Y luego lo da todo mascadito para
                                                                              5
         compras son eficientes y si se controla adecuadamente   seguir la “p” con la “a”, con sencillos programas de tra-
         el inventario TIC.                                  bajo que un auditor no avezado en el mundo tecnológico
                                                             puede seguir.
         Por último, en la gestión documental electrónica, el au-
         ditor interno comprueba trazabilidad de modificaciones.   Para organizaciones en las que no se ha realizado nunca
         El OCEX analiza si la universidad cumple con las obliga-  un trabajo de auditoría sobre la ciberseguridad, seas au-
         ciones del Esquema Nacional de Interoperabilidad.   ditor interno o externo, permite dar un (re)paso inicial de
                                                             gran valor para, al menos, tener el statu quo (spoiler: la
         Huelga decir que tanto auditores internos como los   cosa suele estar mal) del que partir.
         externos podrían intercambiar los controles sugeridos
         siempre que contasen con la debida capacitación (o mús-  Lo dicho. Una guía, en el sentido de utilidad y ayuda que
         culo externo contratado).                           el diccionario le reputa a la palabra.

         Teniendo como vector principal el riesgo, ningún control   Sin embargo, y siendo de fácil seguimiento como de-
         sobra. Bueno sí. Sobra el control estéril, el estético, el   cimos, queremos hablar de los controles básicos de ci-
         solapado, el ineficiente. Algo que deberá tener en cuenta   berseguridad con un estilo diferente. Pensamos que la
         el control TI n+1. Partir de lo ya realizado. Evaluar el nivel   ciberseguridad universitaria se cuenta mejor con histo-
         de riesgo, y diseñar un nuevo control de ciberseguridad   rias reales. Y detrás de cada uno de estos controles hay
         que no redunde, que sea práctico y que aporte valor.  escenas reconocibles en cualquier campus.

         Y este mantra vale para ambos, auditores internos y   8 controles, 8 historias. Los controles básicos de
         OCEX. Ambos deben tener una mirada clara: un diseño
         de  controles que  revise el  detalle,  pero que  parta  del   ciberseguridad en la Universidad.
         cuadro completo. Juntos construyen un relato coheren-  La universidad actual no consiste únicamente en aulas,
         te sobre cómo la universidad planifica, gestiona y rinde   bibliotecas, laboratorios o unidades administrativas; es
         cuentas en su transformación digital.
                                                             también una amplia comunidad donde conviven estu-
                                                             diantes con sus portátiles y teléfonos móviles, profeso-
                                                             res que imparten docencia (presencial o virtual) o realizan
         4.  Ciberseguridad en primera persona: los          investigaciones y gestores que tratan con datos sensi-
            controles básicos como relato de campus.         bles de miles de personas. Cada matrícula, cada expe-
                                                             diente, cada investigación es información valiosa.
         Seamos francos, el nivel de ciberseguridad de las admi-
         nistraciones públicas tiene mucho trabajo por delante.   En la mayoría de los casos, los integrantes de la comuni-
         Los casos de ramsomware, por ejemplo, nos lo recuer-  dad universitaria utilizan los servicios informáticos que la
         dan a diario a golpe de titular informativo. Ministerios,   institución pone a su disposición sin pararse a pensar en
         ayuntamientos, hospitales son victimas usuales. Y la uni-  la cantidad de riesgos cibernéticos que siempre acechan:
         versidad no es una excepción.                       ordenadores desconocidos que se conectan a la red in-
                                                             formática, aplicaciones descargadas sin control, correos
         Una buena noticia en este apremiante contexto, donde   sospechosos, vulnerabilidades sin parchear, accesos in-
         achicar la brecha entre el nivel de seguridad y la expan-  debidos a expedientes, logs que nadie revisa o copias de
         sión del nivel de amenazas es tarea titánica, es la Guía   seguridad que no funcionan cuando más se necesitan.





         4  Center of Internet Security. Organización de reconocido prestigio internacional. Define un marco de seguridad que establece un conjunto priorizado de controles orienta-
         dos a mitigar los ataques más comunes y dañinos.
         5  Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.


          182
   178   179   180   181   182   183   184   185   186   187   188