Page 187 - REVISTA AUDITORÍA PUBLICA 86
P. 187
REVISTA AUDITORÍA PÚBLICA / 86
Un profesor prueba un sistema de IA para detectar Bibliografía y referencias.
plagios en los exámenes. Los estudiantes protestan al
sentirse evaluados por un algoritmo. El auditor interno ¡ Directiva (UE) (NIS 2. Directiva (UE) 2022/2555 del
comprueba si el sistema deja trazabilidad y supervisión Parlamento Europeo y del Consejo de 14 de diciem-
humana. El OCEX analiza si la universidad cumple el bre de 2022 relativa a las medidas destinadas a ga-
RGPD y respeta los derechos de los estudiantes frente a rantizar un elevado nivel común de ciberseguridad en
decisiones automatizadas. toda la Unión, por la que se modifican el Reglamento
(UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la
Un grupo de investigación decide volcar sus datos en un que se deroga la Directiva (UE) 2016/1148 (Directiva
servidor en la nube contratado por rapidez. Solo des- SRI 2).
pués descubren que está alojado fuera de la UE. El audi-
tor interno detecta la vulnerabilidad y plantea soluciones. ¡ Guía Práctica de Fiscalización (GPF-OCEX 5313):
El OCEX evalúa si la universidad incumplió el ENS y si Controles Básicos de Ciberseguridad.
adoptó garantías contractuales adecuadas para proteger
datos sensibles. ¡ Ley 39/2015, de 1 de octubre, del Procedimiento Ad-
ministrativo Común de las Administraciones Públi-
Un administrativo, tras la pandemia, tramita expedientes cas.
desde su casa. Lo hace desde un portátil personal, sin
VPN ni autenticación multifactor. El auditor interno obser- ¡ Ley 40/2015, de 1 de octubre, de Régimen Jurídico
va la brecha inmediata. El OCEX revisa si la universidad del Sector Público.
ha diseñado políticas claras de teletrabajo, alineadas con
la normativa laboral y de protección de datos. ¡ Ley Orgánica 2/2023, de 22 de marzo, del Sistema
Universitario.
Estos relatos muestran que la transformación digital uni-
versitaria no es un discurso abstracto, sino un mosaico ¡ Ley Orgánica 3/2018, de Protección de Datos Perso-
de decisiones concretas, tomadas cada día por estudian- nales.
tes, docentes, investigadores y gestores. Y que estas de-
cisiones tienen consecuencias que deben ser acompaña- ¡ Real Decreto 311/2022, de 3 de mayo, por el que se
das por controles, primero internos y después externos. regula el Esquema Nacional de Seguridad.
Aquí radica la importancia del diálogo entre auditoría ¡ Reglamento (UE) 2016/679, Reglamento General de
interna y OCEX autonómicos. El auditor interno aporta Protección de Datos (RGPD).
cercanía, conoce las rutinas y detecta vulnerabilidades a
pie de campus. El OCEX ofrece una visión independien-
te, compara universidades y fija estándares homogéneos
de seguridad y transparencia. Entre ambos se construye
una narrativa coherente: una universidad que no solo en-
seña e investiga, sino que lo hace con seguridad, trans-
parencia y confianza.
En este viaje, los Controles Básicos de Ciberseguridad
son un ejemplo de ese lenguaje compartido: convierten
riesgos invisibles en prácticas medibles, y casos cotidia-
nos en criterios de fiscalización. Pero los CBCS son mu-
cho más que medidas técnicas: son relatos cotidianos
del campus, escenas reconocibles en cualquier facultad,
desde un portátil sospechoso hasta un ransomware en
época de exámenes. Y detrás de cada historia está siem-
pre la misma moraleja: lo que no se controla, acaba con-
trolándote.
En definitiva, en un entorno académico cada vez más di-
gital y vulnerable, la colaboración entre control interno y
externo no es un lujo, sino la clave de bóveda que sos-
tiene la credibilidad, la seguridad y la transparencia de la
universidad pública.
186
