Con esta recertificación, la FPCUV consolida un reconocimiento que obtuvo por primera vez en 2020 y que deberá renovar nuevamente en 2027, reafirmando así su compromiso con la seguridad de la información, la protección de los datos personales y la confianza de las entidades y empresas con las que colabora.
El proceso de recertificación se ha desarrollado en el marco del proyecto Transforma Seguridad de la Información (TRANSEIN) y ha contado con el apoyo de la Conselleria de Innovación, Industria, Comercio y Turismo. La auditoría ha sido realizada por la empresa OCA Global, cuya delegada comercial en València, Ana Sánchez, hizo entrega oficial del certificado en las instalaciones del PCUV. El acto contó con la presencia de Pedro Carrasco, director del PCUV; Fernando Zárraga, gerente de la FPCUV; y Mariano Serra, responsable del área de Sistemas TIC de la FPCUV.
Mariano Serra, también responsable del programa TRANSEIN, subraya que esta recertificación “corrobora que la FPCUV dispone de un sistema de gestión de la seguridad de la información maduro y eficiente. Supone un elemento clave para generar confianza frente a terceros y garantiza el cumplimiento de las medidas y requisitos de seguridad exigidos legalmente”.
El Esquema Nacional de Seguridad establece los principios y requisitos que deben cumplir las administraciones públicas y las entidades que prestan servicios o gestionan información de carácter público, con el objetivo de asegurar la protección de la información, la continuidad de los servicios y una gestión adecuada de los riesgos. Aunque comparte principios con estándares internacionales como la ISO 27001, el ENS constituye el marco normativo específico en materia de seguridad de la información en España.
La certificación del ENS se estructura en tres niveles —básico, medio y alto— definidos en función de cinco dimensiones de la seguridad de la información: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad. En el caso de la FPCUV, la categoría básica responde a la tipología de sus activos y a la evaluación global de estas dimensiones.
El programa TRANSEIN se desarrolló como una actuación piloto estratégica orientada a renovar y reforzar el Sistema de Gestión de la Seguridad de la Información del área empresarial vinculada al Parc Científic de la Universitat de València, alineándolo con los requisitos establecidos por el Esquema Nacional de Seguridad (ENS) en el Real Decreto 311/2022. El objetivo principal del proyecto fue alcanzar y evidenciar la conformidad con el ENS en su categoría básica mediante la implantación de un conjunto completo de medidas organizativas y técnicas, culminando el proceso con una auditoría externa de certificación realizada por una entidad acreditada.
El proyecto se estructuró en doce fases que abarcaron desde la definición del marco organizativo hasta la auditoría final, incorporando además acciones específicas dirigidas a reforzar la cultura de la ciberseguridad dentro del ecosistema del Parc Científic. En este contexto, una de las actuaciones más relevantes fue la revisión y actualización integral de la documentación interna, que incluyó políticas, normativa, reglamentos y procedimientos. Entre estas actualizaciones destacó la incorporación de un apartado específico sobre el uso responsable de herramientas de inteligencia artificial en el reglamento TIC.
Durante 2025 se revisaron 49 procedimientos de seguridad y se llevaron a cabo 33 actualizaciones. Además, se generaron 11 registros destinados al mantenimiento de evidencias, como inventarios, control de accesos, configuraciones, mantenimiento de sistemas o copias de seguridad
Durante el desarrollo de TRANSEIN se revisaron un total de 49 procedimientos de seguridad y se llevaron a cabo 33 actualizaciones, además de generarse once registros destinados al mantenimiento de evidencias clave, como inventarios de activos, control de accesos, configuraciones de sistemas, tareas de mantenimiento, métricas, formación, custodia de la información y copias de seguridad. Asimismo, el Comité de Seguridad TIC celebró una reunión el 3 de noviembre en la que se aprobaron documentos críticos, como la categorización del sistema y la declaración de aplicabilidad, y se planificaron tanto la auditoría interna como la externa.
En el ámbito técnico, el programa permitió definir con mayor precisión el alcance del ENS para los sistemas que soportan los servicios del ecosistema de innovación del área empresarial del PCUV. Como resultado de este trabajo se realizó la categorización de los sistemas, que determinó su encuadre en la categoría básica. Paralelamente, se revisó y actualizó el análisis de riesgos conforme a la metodología MAGERIT v3, incorporando nuevas amenazas, incluidas las asociadas a activos en la nube, y ajustando las probabilidades de riesgo tras el apagón general registrado a nivel nacional el 28 de abril de 2025.
“Este proceso ha permitido consolidar un sistema de gestión de la seguridad de la información más robusto y alineado con los requisitos normativos actuales. La recertificación del ENS no solo acredita el cumplimiento legal, sino que refuerza la confianza de las empresas y entidades del ecosistema del Parc Científic y mejora nuestra capacidad para anticipar y gestionar riesgos en un entorno digital cada vez más complejo”, Mariano Serra, responsable del área TIC en la FPCUV
El proyecto incluyó también la elaboración de la Declaración de Aplicabilidad, que recoge un total de 52 medidas de seguridad correspondientes a la categoría básica del ENS. Entre ellas se contemplaron medidas compensatorias específicas para la gestión de actualizaciones de seguridad en equipos que se encuentran fuera de soporte.
TRANSEIN incorporó igualmente actuaciones de refuerzo técnico sobre los sistemas críticos, mediante acciones de bastionado apoyadas en herramientas del CCN-CERT, como CLARA, que permitieron auditar los sistemas, analizar los resultados, elaborar informes técnicos y aplicar las correcciones necesarias. A ello se sumaron auditorías de caja negra sobre aplicaciones web corporativas, como portalcliente.pcuv.es y pcuv.es, apoyadas por un sistema de Web Application Firewall, que identificaron dos hallazgos que fueron posteriormente corregidos.
En cuanto a la verificación del cumplimiento, se realizó una auditoría interna los días 3, 5 y 10 de noviembre, que concluyó sin no conformidades, identificándose únicamente una observación y una oportunidad de mejora relacionada con la automatización parcial del inventario. Posteriormente, la auditoría externa de certificación se llevó a cabo los días 21, 27 y 28 de noviembre por una entidad acreditada por ENAC, con dictamen favorable y sin desviaciones, lo que permitió culminar con éxito el proceso de recertificación del ENS.
Según señala Mariano Serra, responsable del área de Sistemas TIC de la FPCUV y coordinador del programa TRANSEIN, “este proceso ha permitido consolidar un sistema de gestión de la seguridad de la información más robusto y alineado con los requisitos normativos actuales. La recertificación del ENS no solo acredita el cumplimiento legal, sino que refuerza la confianza de las empresas y entidades del ecosistema del Parc Científic y mejora nuestra capacidad para anticipar y gestionar riesgos en un entorno digital cada vez más complejo”.
De forma complementaria, el programa TRANSEIN incorporó un amplio conjunto de acciones de difusión, formación y concienciación en ciberseguridad dirigidas tanto al público general como a las entidades del ecosistema del Parc Científic. En este marco se organizaron dos jornadas divulgativas, celebradas el 4 de julio y el 31 de octubre, en formato presencial y en streaming, que registraron una elevada participación, con más de 120 personas inscritas en cada una de ellas.
Asimismo, se desarrollaron acciones formativas internas, entre las que se incluyeron un curso online sobre ransomware de 15 horas de duración, un taller específico de concienciación en ciberseguridad celebrado el 24 de octubre de 2025 y formación especializada en el uso seguro de Copilot y Microsoft 365. El proyecto incorporó también actuaciones en materia jurídica y de protección de datos, como la elaboración de la Evaluación de Impacto en Protección de Datos de Copilot 365, la creación de materiales divulgativos y la revisión de cláusulas y documentación conforme al Reglamento General de Protección de Datos.
En conjunto, el desarrollo del programa TRANSEIN ha permitido no solo alcanzar la conformidad certificada con el Esquema Nacional de Seguridad en categoría básica, sino también reforzar de manera sostenida los procesos internos, las capacidades técnicas y la cultura de seguridad de la información del ecosistema del Parc Científic de la Universitat de València, consolidando un entorno de mayor confianza y resiliencia digital.