Gobernanza y ciberseguridad en la universidad pública






            sistema enviaba una alarma.                         En el área de informática estaban tranquilos, tenían todo
                                                                bajo control: sistemas actualizados, red vigilada, copias
            La siguiente vez que el atacante lo intentó, a las dos de   de seguridad al día… Pero cuando Norma, la auditora,
            la madrugada, la alerta sonó en el móvil del responsable   pidió las políticas y procedimientos firmados, las actas
            de seguridad. En pocos minutos, bloquearon la dirección   del comité de seguridad y la declaración de aplicabilidad
            sospechosa y revisaron los accesos. El ataque no pros-  del ENS, nadie sabía de qué estaba hablando. El incum-
            peró.                                               plimiento normativo no desactiva los sistemas, pero des-
                                                                truye reputaciones.
            En este caso, el auditor comprobará que existen regis-
            tros de la actividad de los usuarios, su almacenamiento,   La universidad entendió entonces que la seguridad no
            centralización y revisión y la existencia de herramientas   termina en el firewall, sino que también vive en los do-
            de análisis y alerta.                               cumentos que la sostienen. Lo que empezó como un
                                                                susto se convirtió en una oportunidad. Se elaboró la po-
            CBCS 7. EL RANSOMWARE Y LA ÚLTIMA DEFENSA.          lítica de seguridad de la información, se constituyó un
                                                                comité de seguridad, se asignaron roles y se empezó a
            Era plena temporada de exámenes en la universidad. La   mantener actualizado no solo lo técnico, sino también
            plataforma de docencia virtual estaba a rebosar: profeso-  lo formal.
            res subiendo materiales, estudiantes descargando apun-
            tes, foros llenos de mensajes.                      La universidad, al final, salió reforzada. No solo protegía
                                                                sus sistemas, también podía demostrar que lo hacía.
            De pronto, un lunes a primera hora, todo se detuvo. Ar-
            chivos cifrados, mensajes de error en pantalla y un aviso
            aterrador:
                                                                Como epílogo a este conjunto de historias universitarias,
            “Sus datos han sido secuestrados. Si quiere recuperar-  recalcamos la noción básica de que los riesgos no son
            los, pague en criptomonedas.”                       teóricos: ocurren asiduamente, desde un ordenador in-
                                                                fectado en un despacho hasta un servidor crítico sin par-
            El campus digital estaba paralizado. La universidad había   ches. Pero con los controles básicos de ciberseguridad
            sufrido un golpe devastador: un ataque de ransomware.  activos, la Universidad dispone de un sistema de defensa
                                                                robusto, aunque requiere vigilancia, disciplina y cultura.
            Los profesores no podían subir exámenes, los alumnos
            no podían entregar trabajos, y la tensión se extendía   El papel del auditor es esencial: verificar que los contro-
            como un incendio. Todos miraban al área de informática,   les no se limitan a buenas intenciones, sino que están en
            esperando una respuesta.                            funcionamiento, documentados y probados.

            Fue entonces cuando se activó el séptimo control: las
            copias de seguridad.
                                                                5.  The (not so) new normal. Ideas finales:
            La universidad contaba con un plan de respaldo robusto:      el día a día digital y el control externo.
            copias diarias automáticas, almacenadas tanto en servi-
            dores locales como en la nube con Azure Backup. Ade-  La universidad que describíamos al inicio, con estudian-
            más, cada mes se realizaban restauraciones de prueba   tes conectados desde cualquier lugar, investigadores
            para asegurar que funcionaban.                      trabajando en repositorios globales y administrativos
                                                                gestionando expedientes electrónicos, es la misma que
            Había que dar las gracias a la auditoría que se había rea-  llega  hasta estas líneas  finales.  La universidad  sigue
            lizado el año anterior en la que se revisó la política de   siendo un lugar de conocimiento y servicio público, pero
            copias de seguridad y se recomendaron pruebas de re-  ahora necesita guardianes digitales y auditores que sean
            cuperación para detectar errores.                   eficaces en los contextos digitales del siglo XXI. Solo así
                                                                podrá cumplir su misión clásica en este presente no tan
            CBCS 8. LA VISITA DE NORMA.                         nuevo, donde cada clic importa y cada control cuenta.

            La universidad vivía en un periodo de calma. El curso   El futuro digital de la universidad ya no se anuncia, se
            había arrancado con normalidad y los niveles de estrés   vive a diario en el campus. Los retos emergentes –inte-
            habían bajado considerablemente. Pero la alegría dura   ligencia artificial, nube y teletrabajo– no son escenarios
            poco en la casa del pobre. Había llegado un correo con   hipotéticos, sino escenas cotidianas que ponen a prueba
            un asunto serio: “Inicio de auditoría” .            los mecanismos de control.



                                                                                                             185