Page 97 - REVISTA AUDITORÍA PÚBLICA 87
P. 97
Del riesgo al control: así avanzan las Universidades Públicas Andaluzas hacia el ENS a través de la Guía CCN-STIC 881.
Respecto a las áreas de análisis, el grado de implantación torial CRUE-TIC que dispone de un Grupo de Trabajo
17
del Modelo de Gobernanza es del 63% en el sector uni- específico de Seguridad y Auditoría TI. En cuanto a la es-
versitario público andaluz siendo el nivel de cumplimien- tructura y flujo de autorizaciones TIC, se han establecido
to del PCEU alto en 3 UPAS, medio en 6 y bajo en una los roles y las funciones de los miembros en el 60% de
de ellas. En relación a la Política de Seguridad, el nivel los casos.
de cumplimiento de las UPAS en base a las respuestas
del mencionado cuestionario alcanza el 64% (siendo alto Los cuestionarios arrojan que el 50% de las UPAS reco-
en 3 UPAS, medio en 4 y bajo en el resto) así como el nocen tener un modelo extendido de gobernanza .
18
44% en el Plan de Adecuación (siendo alto igualmente
en 3 UPAS, medio en 2 y bajo en el resto). Se concluye, Política de seguridad.
por tanto, que aunque la Gobernanza y la Política de Se-
guridad son mejorables al menos obtienen el aprobado, Aunque todas las UPAS cuentan con Políticas de Seguri-
resultado que no se alcanza en el plan de implantación dad aprobadas y en vigor, sólo el 40% de ellas, las tienen
del ENS que se sitúa en el 44%. Lo anterior justifica que adaptadas al nuevo ENS y únicamente 2 UPAS cumplen
sólo 1 de 10 UPAS esté certificada bajo el ENS desde con el PCEU, en cuanto a su estructura y contenido con-
2018 (siendo preceptiva su obtención desde el 5 de mayo forme a la Guía CCN-STIC 881.
de 2024 en base a la normativa de aplicación).
En relación a la “gestión de riesgos”, 6 de 10 UPAS rea-
Modelo de gobernanza TI. lizan este análisis anualmente, tal y como aconseja la
Guía, poniéndose de manifiesto además que sólo en 2
Según se establece en la Guía CCN-STIC 881, la gestión UPAS el Responsable de la Seguridad se encarga de ve-
de la seguridad de los sistemas de información de las rificar la realización de dicho análisis, así como de identi-
universidades (definición, implantación y mantenimien- ficar carencias y debilidades y ponerlas en conocimiento
to) exige establecer una Organización Interna de la Se- del Comité de Seguridad de la Información. Se concluye
guridad. Tal organización debe determinar con precisión que, aunque el proceso de gestión de riesgos es confor-
los diferentes actores que la conforman, sus funciones me a la normativa de aplicación en un 70% de los casos,
y responsabilidades, así como la implantación de una es- únicamente el 30% de ellos comprende las fases de ca-
tructura que las soporte. tegorización de sistemas, análisis de riesgos y selección
de medidas por parte del Comité de Seguridad de la In-
El Modelo de Gobernanza propuesto por la Guía facilita formación.
la toma de decisiones interna y articula la colaboración
entre ellas, estando destinado a la gestión de los pro- Respecto al apartado de “Mejora continua y modifica-
cesos relacionados con el ENS y basado en bloques de ciones”, hay que tener presente que la gestión de la se-
responsabilidad. Así, la mayor parte de las universidades guridad de la información es un proceso sujeto a per-
(9 de las 10 UPAS) cuentan con Comités de Seguridad manente actualización. Sin embargo, se incluyen estos
TIC, Áreas TIC y reconocen utilizar las Herramientas de apartados en el 50% y 60% de las políticas de las UPAS,
15
Gobernanza, no contando ninguna con Oficina de Segu- respectivamente.
ridad TIC debido principalmente al proceso y costes ne-
cesarios para dotarla de personal, así como la formación Plan de adecuación.
correspondiente en materia de ciberseguridad.
En lo que concierne al alcance de los sistemas a cer-
Por otro lado, sólo 2 de 10 UPAS disponen de Centro de tificar, aunque el 70% de las UPAS indican en su Plan
Operaciones de Ciberseguridad (COCS ). En relación al de Adecuación el catálogo de servicios prestados y sis-
16
Foro de seguridad TIC, todas las UPAS asisten a la Sec- temas en el que están alojados, sólo en el 50% de las
15 Para la gobernanza de la ciberseguridad, en consonancia con lo establecido en el artículo 10 Vigilancia continua y reevaluación periódica del RD ENS, “las medidas de
seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replantea-
miento de la seguridad, si fuese necesario” desde el Centro Criptológico Nacional, se proporcionan las herramientas de gobernanza INES y AMPARO que garantizan la
gestión de la ciberseguridad.
16 Según la Guía, este Centro desarrolla la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas TIC, a la vez que mejora la capacidad de
respuesta del sistema ante cualquier ataque.
17 Constituye una de las Comisiones Sectoriales de la CRUE Digitalización, la cual crea estos Grupos de Trabajo para alcanzar los objetivos planteados y cumplir con su
misión.
18 Según el CCN, representa un marco avanzado y estructurado para gestionar la seguridad de la información, adaptado a organizaciones complejas o con mayores nece-
sidades de cumplimiento.
95
