Del riesgo al control: así avanzan las Universidades Públicas Andaluzas
                hacia el ENS a través de la Guía CCN-STIC 881.








            María Ángeles de la Torre Parra
            Auditora de la Cámara de Cuentas de Andalucía.


            María Soledad Martín Castellano
            Técnico de la Cámara de Cuentas de Andalucía.





               Revista Auditoría Pública nº 87. Junio 2026. Páginas: 89-97






            Resumen: Las TIC se han convertido en un elemento tác-  Abstract: The increasing role of Information and Com-
            tico para la labor de las universidades públicas lo que ha   munication Technologies (ICT) as a strategic component
            derivado en que la seguridad de la información se con-  in the operations of public universities has made infor-
            vierta en una prioridad para estas instituciones. En esta   mation security a priority for these institutions. In this
            tarea, es clave que exista una gobernanza de las TI que   context, effective IT governance is essential to ensure
            se integre en los objetivos estratégicos de la universidad.  its integration with the universities’ strategic objectives.
            El ENS surge en 2010 en un contexto en el que las TIC   The National Security Framework (NSF), introduced in
            estaban calando cada vez más en la operativa del sector  2010, emerged in a context where ICTs were becoming
            público. Con el nuevo desarrollo del Esquema en 2022,   increasingly embedded in public sector operations. Its
            unido a la elaboración de Guías por el Centro Criptológico  subsequent development in 2022, together with the pu-
            Nacional, como la Guía CCN-STIC 881 , han servido para  blication of guidelines by the National Cryptologic Cen-
                                            1
            dotar de herramientas a las universidades. La Guía elabo-  tre (NCC) –such as CCN-STIC Guide 881– has provided
            ra un Perfil de Cumplimiento Específico para Universida-  universities with practical tools. In particular, this Guide
            des (PCEU) para facilitar la obtención de la certificación   establishes a Specific Compliance Profile for Universities
            al ENS.                                             (SCPU), aimed at facilitating the process of obtaining
            La reciente fiscalización llevada a cabo por la Cámara de  NSF certification.
            Cuentas de Andalucía pone de manifiesto que, aunque   A recent audit conducted by the Chamber of Accounts of
            se han logrado avances significativos, aún queda camino  Andalusia reveals that, although significant progress has
            por recorrer en el proceso de obtención de la preciada   been made, there is still a long way to go in achieving
            certificación bajo el ENS. Además, la presión de los ci-  NSF certification. Furthermore, the growing pressure of
            berataques en este sector acentúa la importancia de in-  cyberattacks in this sector underscores the importance
            cluir la ciberseguridad entre las prioridades estratégicas   of including cybersecurity among universities’ strategic
            de las universidades para dotarlas de los recursos y la   priorities, ensuring the provision of adequate resources
            formación necesaria.                                and training.



            Palabras Clave:  Seguridad de la información; Gobernanza   Keywords: Information Security; IT Governance; NSF
            de las TI;  ENS;  PCEU; ciberataques.               (National Security Framework); SCPU (Specific Com-
                                                                pliance Profile for Universities); Cyberattacks.



            1  Guía del Centro Criptológico Nacional de Seguridad de las TIC de adecuación al ENS para Universidades, de mayo de 2022.


                                                                                                              89