Page 95 - REVISTA AUDITORÍA PÚBLICA 87
P. 95
Del riesgo al control: así avanzan las Universidades Públicas Andaluzas hacia el ENS a través de la Guía CCN-STIC 881.
específicos que la gestionen, teniendo en cuenta las par-
ticularidades propias que se derivan de la naturaleza jurídi-
ca de las universidades públicas. Esta organización, junto
con los compromisos de seguridad, se debe reflejar en la
Política de Seguridad. A continuación, habrá que elaborar
un Plan de Adecuación de los sistemas de la universidad,
mediante la identificación de los activos esenciales, su
valoración, categorización, obtención de la declaración de
aplicabilidad, análisis de riesgos, etc., del que resultará un
Perfil de Cumplimiento Específico con las medidas que
resulten de aplicación a sus sistemas para garantizar la
seguridad de los mismos.
Y como objetivo último, las universidades deberán supe-
rar el proceso de Certificación al ENS conforme al Perfil de
Cumplimiento recomendado en la citada guía, iniciando
así el ciclo de gobernanza de la ciberseguridad, mediante
la revisión y mejora continua de los procesos de seguridad
desplegados en el sistema.
Además, la Guía se completa con 2 anexos que incluyen
un modelo de Política de Seguridad y un Plan de Adecua-
ción al ENS para universidades.
2.3. Aplicación práctica de la Guía CCN-STIC 881
por parte de los Órganos de Control Externo.
En el marco del Plan de Actuaciones para el ejercicio 2024
de la Cámara de Cuentas de Andalucía (CCA), se ha lleva-
do a cabo la realización del informe anual de las Univer-
sidades Públicas de Andalucía (ejercicios 2022-2023) que
incluye una referencia especial a la ciberseguridad.
2.2. El objetivo y el alcance de la Guía CCN-STIC 881.
Dicho informe tiene como objetivo verificar de manera
El objetivo de la Guía es proporcionar un modelo que transversal el cumplimiento Guía CCN-STIC 881. Para ello,
facilite la Adecuación al ENS de los sistemas de las uni- tomando como base el contenido de la citada Guía de
versidades públicas de forma ordenada y efectiva, que mayo de 2022 , la CCA confeccionó un cuestionario para
12
permita obtener la Certificación de Conformidad para sus evaluar el nivel de implantación en las UPAS al PCEU.
sistemas según el Perfil de Cumplimiento Específico para
Universidades antes mencionado. El sector universitario público andaluz se compone de 10
universidades situándose el presupuesto agregado de las
La Guía abarca la gestión de la ciberseguridad en las uni- mismas para el año 2023 en 1.149M€, lo que muestra la
versidades públicas de manera integral y consta de tres significatividad de este sector.
partes claramente diferenciadas:
La respuesta por parte de las UPAS a dicho cuestionario
¡ Modelo de Gobernanza de las TI. ha constituido la base de las conclusiones del informe re-
¡ Política de Seguridad. ferenciado, reflejando las mismas el grado de implanta-
¡ Plan de Adecuación al ENS. ción declarado por las universidades públicas andaluzas.
Asimismo, para la evaluación del nivel de cumplimiento
El Modelo de Gobernanza se ocupa desde la designación de las UPAS, de acuerdo con sus respuestas, se ha con-
de roles de seguridad hasta la constitución de los órganos siderado que el nivel de cumplimiento es bajo cuando las
12 Se aprueba con posterioridad al ENS de 2022 (R.D. 311/2022).
93
