La Sindicatura alerta de una gobernanza "inaceptable" de la ciberseguridad en fundaciones y consorcios de la Generalitat

Comunitat Valenciana

El órgano fiscalizador advierte de una "dejadez de responsabilidades" en los entes públicos y reclama reforzar la gestión de riesgos y la ciberresiliencia

Suscríbe al canal de whatsapp

Suscríbete al canal de Whatsapp

Siempre al día de las últimas noticias

Suscríbe nuestro newsletter

Suscríbete nuestro newsletter

Siempre al día de las últimas noticias

VALÈNCIA. La gobernanza de la ciberseguridad sigue siendo una de las grandes asignaturas pendientes del sector público instrumental de la Generalitat. Así lo concluye la Sindicatura de Comptes tras analizar los 16 consorcios y fundaciones de la administración autonómica, entre ellos los consorcios hospitalarios, fundaciones de investigación sanitaria, el Consorcio de Museos o la Fundación Palau de les Arts. El informe dibuja un escenario preocupante y es que ninguna de las entidades alcanza el nivel de madurez que el órgano fiscalizador considera adecuado y diez ni siquiera llegan al 50%, una puntuación que refleja una situación "muy deficiente" e incluso, en algunos casos, una gobernanza "prácticamente inexistente".

La auditoría evalúa aspectos como la existencia de políticas de seguridad, la definición de responsabilidades, la gestión de riesgos, el cumplimiento de la normativa o la capacidad de recuperación ante incidentes informáticos. A partir de ese análisis, la Sindicatura concluye que la situación general de la ciberseguridad en estas entidades "debe calificarse de inaceptable" y considera que refleja una "dejadez de responsabilidades de los órganos de gobierno y dirección", al entender que no existe una dirección estratégica ni una gestión adecuada de los riesgos asociados a las ciberamenazas.

Diez entidades suspenden con menos del 50%

El informe divide a las entidades en dos grandes grupos. Seis obtienen un nivel de madurez situado entre el 50% y el 80%, una horquilla que la Sindicatura considera todavía "deficiente". Las otras diez no alcanzan el 50%, lo que evidencia graves carencias en la organización de la ciberseguridad.

Entre las entidades analizadas figuran el Consorcio Hospital General Universitario de València, el Consorcio Hospitalario Provincial de Castellón, Fisabio, Incliva, la Fundación La Fe, ISABIAL, la Fundación Hospital General para la Investigación Biomédica, el Consorcio Espacial Valenciano (Val Space Consortium), el Consorcio de Museos de la Comunitat Valenciana, la Fundación Palau de les Arts, la Fundación Tribunal de Arbitraje Laboral o la Fundación ValER, entre otras.

La Sindicatura recuerda que todas estas entidades gestionan servicios públicos o información sensible y dependen de los sistemas digitales para desarrollar su actividad diaria, por lo que una gobernanza adecuada de la ciberseguridad deja de ser una cuestión meramente tecnológica para convertirse en un elemento estratégico de gestión.

Sin capacidad para responder a un ciberataque

Uno de los apartados peor valorados por la auditoría es el relativo a la continuidad del servicio y la ciberresiliencia. Quince de las 16 entidades obtienen menos del 50% en este indicador, lo que, según la Sindicatura, demuestra que "la mayor parte de entidades carece de previsiones y planes para hacer frente de una forma rápida y ordenada a un posible incidente de seguridad grave, que les permita recuperar la información y su actividad en un tiempo razonable". El informe pone especialmente el foco en los dos consorcios hospitalarios - el Hospital General Universitario de València y el Hospital Provincial de Castellón-, cuya situación califica de "especialmente grave" por la naturaleza crítica de los servicios sanitarios que prestan.

La Sindicatura también aprecia importantes deficiencias en el cumplimiento de la normativa sobre seguridad de la información. "El incumplimiento de la legalidad en materia de seguridad de la información y protección de datos es generalizado", afirma el informe. De hecho, únicamente dos entidades -la Fundación para la Investigación del Hospital La Fe (FIFE) y el Consorcio de Gestión del Centro de Artesanía de la Comunitat Valenciana- superan el 80% en este apartado, mientras que "la mayoría de las entidades están lejos de cumplir con el ENS", en referencia al Esquema Nacional de Seguridad.

Además, la auditoría detecta importantes carencias en aspectos como la aprobación de políticas de seguridad, la existencia de comités específicos de ciberseguridad o la definición de responsabilidades dentro de las organizaciones.

Solo una entidad se ha adherido a la nueva política de seguridad

Otro de los aspectos analizados es la implantación del Decreto 49/2025, que regula la Política de Seguridad de la Información de la Generalitat. A cierre de 2025 únicamente la Fundación ValER se había adherido formalmente a esta política corporativa. El resto debería disponer de una política propia o acogerse a la de la Generalitat, aunque solo seis entidades contaban con una aprobada. La situación también presenta diferencias entre consellerias, aunque ninguna alcanza niveles satisfactorios. Las entidades dependientes de Industria obtienen la mejor media, con un 67,3%, mientras que Sanidad se queda en el 39,8%; Educación, en el 17,2%; Medio Ambiente, en el 7,5%; y Presidencia apenas alcanza el 3,5%.

Ante este escenario, el órgano fiscalizador plantea una batería de recomendaciones dirigidas tanto a las consellerias como a los propios órganos de gobierno de los consorcios y fundaciones. Entre ellas, reclama un "liderazgo activo y comprometido" en materia de seguridad de la información, la aprobación de políticas de seguridad adaptadas al Esquema Nacional de Seguridad, la formalización de los responsables previstos por la normativa, el desarrollo de procedimientos internos y la implantación de procesos periódicos de análisis de riesgos.

Asimismo, insta a dotar a las entidades de más medios humanos y materiales para afrontar estas tareas y subraya que "la ciberseguridad no es barata", por lo que considera imprescindible reforzar la inversión para corregir las debilidades detectadas. En el caso concreto de la Conselleria de Sanidad, la Sindicatura recomienda actualizar la Orden 9/2012 para adaptarla al marco normativo vigente y mejorar la organización de la seguridad de la información en todo su ámbito.

Recibe toda la actualidad
Valencia Plaza

Recibe toda la actualidad de Valencia Plaza en tu correo