Page 93 - REVISTA AUDITORÍA PÚBLICA 87
P. 93
Del riesgo al control: así avanzan las Universidades Públicas Andaluzas hacia el ENS a través de la Guía CCN-STIC 881.
2010 el 16% del Personal Docente e Investigador ser una función diferenciada del responsable de los sis-
(PDI) y el 27% del Personal Administrativo y Servi- temas de información .
5
cios (PAS). Sin embargo, el presupuesto destinado
a formación del personal especializado en TIC para En 2020, se destacó el interés que tenían las universi-
formación por técnico disminuyó en un 37% en dades de nuevo por los aspectos de seguridad e indica-
2010, con respecto a 2006. dores del ENS de 2010 el cual les resulta de aplicación ,
6
presentando un índice de madurez medio de 57 de
7
6. Organización de las TIC: en 2010, el 80% de las los 100 puntos posibles del ENS en su cumplimiento.
universidades disponían o estaban desarrollando Desde entonces, el ENS está en constante evolución
un plan estratégico que incluyera las TIC. Además, con modificaciones notables en 2015 y su última actua-
más del 90% de las universidades había diseñado lización en 2022 mediante Real Decreto 311/2022, de 3
un plan de renovación continua y periódica de todas de mayo, por el que se regula el Esquema Nacional de
sus infraestructuras TIC; en cambio, apenas el 50% Seguridad que es el texto actualmente en vigor.
de las universidades disponían de un plan de dota-
ción y distribución de recursos humanos TIC. Por último, en el informe de 2022, se esbozó como una
nueva oportunidad el uso de la inteligencia artificial y
De este estudio, se desprende que las universidades como nueva amenaza, los ciberataques y la vulnerabi-
españolas estaban apostando de forma decidida por el lidad de las estructuras digitales de las universidades
uso de las TIC, como pilar fundamental de sus procesos ante este tipo de situaciones, lo que hace necesario dar
universitarios y para situarlas como principal motor de respuesta a estos nuevos retos que se plantean.
cambio e innovación.
Se sigue una senda de mejora en el proceso de transfor-
En este contexto de implantación de las TIC, se aprueba mación digital de este sector y en lo que a ciberseguri-
el primer desarrollo del Esquema Nacional de Seguridad dad se refiere, aumenta la preocupación por este tema.
8
(ENS) mediante el Real Decreto 3/2010, de 8 de enero , Ello se refleja en que 3 de cada 4 universidades contaban
4
en el ámbito de la Administración Electrónica en res- en 2022 con una política de seguridad (un 20% más que
puesta al artículo 42.2 de la Ley 11/2007, de 22 de junio, en 2020) y una normativa que la desarrollaba. Sin embar-
de acceso electrónico de los ciudadanos a los servicios go, el índice de madurez medio se mantenía desde 2020
públicos. en 57 puntos y, aunque 3 de cada 4 universidades habían
llevado a cabo una auditoría de seguridad, solo el 10%
Posteriormente, en la edición de UNIVERSITIC 2017, se contaba con la certificación exigida.
puso de manifiesto la conciencia y preocupación por la
seguridad de la información por parte de las universi- En la actualidad, se evidencia que los ciberataques han
dades. Por ello, se recogieron diferentes aspectos que ido evolucionando en complejidad, lo que dificulta la
abordan dicha preocupación: ENS, los datos relaciona- respuesta y la disposición de medidas de prevención
dos con la seguridad, los distintos roles y sus responsa- por parte de estas instituciones. A su vez, la seguridad
bilidades y los criterios de valoración. Esto arrojó como de la información se ha convertido en prioritaria para ga-
conclusión que debía hacerse una aproximación integral rantizar estos activos, al manejarse datos e información
a la seguridad de la información y entender que debía muy sensibles y relevantes.
4 Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS, Preámbulo: “cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad
en la utilización de medios electrónicos que permita la adecuada protección de la información”
.
5 Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS, artículo 10: “en los sistemas de información se diferenciará el responsable de la información, el respon-
sable del servicio y el responsable de la seguridad” .
6 Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS, artículo 1.2: “El Esquema Nacional de Seguridad está constituido por los principios básicos y requisitos
mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad,
autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus
competencias” .
7 Se refiere al grado de cumplimiento y eficacia en la implementación de los controles y medidas de seguridad requeridos.
8 Si bien la seguridad de la información y la ciberseguridad no son lo mismo, porque la primera se refiere a la protección de los datos valiosos de una institución y la se-
gunda, es una rama de la primera centrada en la protección de los sistemas digitales, en el contexto del artículo, le damos un tratamiento indistinto, en la medida en la que
no entramos en un análisis de los sistemas.
91
