VALÈNCIA (EP). La Sindicatura de Comptes de la Comunitat Valenciana ha remarcado que la situación de gobernanza de las tecnologías de la información (TI) y de la ciberseguridad de las universidades públicas valencianas muestra una "gran heterogeneidad" en cuanto al nivel de madurez.
La Universitat Jaume I (UJI) de Castelló es la que mejores resultados ha obtenido, pues dispone de un marco de gobernanza desarrollado durante más de 15 años que se encuentra "sólidamente establecido" y que "opera de manera sistemática y eficaz".
Además, destaca el "compromiso" de sus órganos de gobierno, que "se materializa, entre otros aspectos, en un alto nivel de involucramiento en los comités de gobernanza y en la importancia otorgada a la ciberseguridad como requisito indispensable para poder cumplir sus objetivos corporativos".
Esta es una de las conclusiones que el organismo auditor extrae tras realizar cinco informes --uno por cada universidad pública-- sobre la gobernanza de las TI y la ciberseguridad de cada una de ellas, a 30 de junio de 2024. Se trata de la Universitat d'Alacant (UA), la Universitat Jaume I (UJI) de Castelló, la Universidad Miguel Hernández (UMH) de Elche,la Universitat Politècnica de València (UPV) y la Universitat de València (UV).
Para realizar el estudio, se han adoptado los siguientes criterios de evaluación formulados en forma de preguntas referidas a cada universidad: ¿dispone de un marco de gobernanza de las TI adecuado a sus características i a las buenas prácticas en la materia?; ¿tiene implantados sistemas de gestión de la seguridad de la información acorde con lo que se establece en el Esquena Nacional de Seguridad?; ¿ha cumplicado las principales normas en materia de seguridad de la información?.
Por lo que respecta a la ciberseguridad, la auditoría se ha centrado en los elementos fundamentales para la existencia de una adecuada gobernanza. No se ha realizado ninguna prueba sobre la situación y eficiencia de los controles de ciberseguridad que cada universidad tiene desplegados, por lo que las conclusiones se refieren a la situación de la gobernanza de la ciberseguridad existente.
Análogamente, en el ámbito de cumplimiento se ha seleccionado un subconjunto limitado de requisitos establecidos por cada una de las normativas consideradas en el análisis. Consiguientemente, las conclusiones son un indicador del nivel de cumplimiento, pero "no son asimilables a una auditoría específica que cubra la totalidad de los aspectos recogidos en la legislación aplicable".
Entre las fortalezas en materia de gobernanza de las TI y de la ciberseguridad, la Sindicatura de Comptes remarca la existencia de la 'Cartera de proyectos TI' como "proceso que rige la planificación de las iniciativas TI a realizar durante el año", así como el "involucramiento" de los órganos de gobierno en la toma de decisiones sobre las TI y la ciberseguridad, "algunas de las cuales cuentan con la participación en sus comités de los vicerrectores con competencias en TI y la gerencia".
Asimismo, ensalza la aprobación por parte de los órganos de gobierno de la política de seguridad como "pieza fundamental" a la hora de "desarrollar un sistema de gestión de la seguridad eficaz".
Por otro lado, se han identificado debilidades en varias universidades que dificultan que la gobernanza sea un "proceso sistemático y planificado y, por lo tanto, que ofrezca una garantía razonable sobre su eficacia".
Entre ellas, el órgano auditor recalca la "inexistencia de comités de gobierno de las TI, que operan de manera eficaz y que cuentan con la involucración de los órganos de gobierno de la universidad"; "procesos de gestión de riesgos de TI no formalizados o inexistentes, que permiten la identificación y tratamiento no solo de los riesgos relacionados con la seguridad, sino todos aquellos que puedan afectar los sistemas de información (dependencia ante personal clave, obsolescencia, carencias en la funcionalidad y usabilidad, etc.)".
Además, se apunta a un "bajo nivel de cumplimiento del Esquema Nacional de Seguridad", pues únicamente dos de las cinco universidades cuentan con la certificación requerida por esta normativa; una "falta de planes estratégicos de TI y de ciberseguridad, que estén aprobados por los órganos de gobierno, de forma que cuentan con su compromiso en la consecución de los objetivos planteados y aseguran la disponibilidad de los recursos necesarios", así como "debilidades en la planificación y seguimiento de las actividades de formación y concienciación en materia de ciberseguridad, lo que puede comprometer su eficacia".