Inicio TIC Ciberseguridad Ciberseguridad de las instituciones, órganos y organismos de la UE

Ciberseguridad de las instituciones, órganos y organismos de la UE

Existe disparidad en el grado de preparación en ciberseguridad entre los órganos de la UE y, en general, no es proporcional a las crecientes amenazas. Por su estrecha interconexión, los puntos débiles de uno de ellos pueden exponer a los demás a amenazas de seguridad.

0

El Tribunal de Cuentas Europeo (TCE) ha publicado la quinta edición de este informe (PDF) en el que destaca que: «en general, el nivel de preparación no es es proporcional a las amenazas». Mal vamos.


El TCE recomienda la introducción de normas vinculantes en ciberseguridad, y que el equipo interinstitucional de respuesta a emergencias informáticas (CERT-UE) disponga de más recursos. La Comisión Europea debería también fomentar una mayor cooperación entre órganos de la UE, y, por otra parte, el CERT-UE y la Agencia de la Unión Europea para la Ciberseguridad deberían prestar mayor atención a los órganos con menor experiencia en la gestión de la ciberseguridad.

Entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE; además, el trabajo a distancia ha aumentado considerablemente el número de posibles puntos de acceso. En general, la causa de los incidentes significativos son complejos ciberataques que implican normalmente el uso de nuevos métodos y tecnologías, y pueden requerir semanas o incluso meses de investigación y de recuperación. Un ejemplo fue el ciberataque a la Agencia Europea de Medicamentos, en el que se filtraron y manipularon datos delicados con el propósito de socavar la confianza en las vacunas.

En palabras de Bettina Jakobsen, Miembro del Tribunal de Cuentas Europeo responsable del informe, «las instituciones, órganos y organismos de la UE son un blanco atractivo para los posibles atacantes, en particular para los grupos capaces de ejecutar ataques sigilosos muy sofisticados con fines de ciberespionaje y otros objetivos perversos. Estos ataques pueden tener importantes consecuencias políticas, dañar la reputación general de la UE y socavar la confianza en sus instituciones. La UE debe intensificar sus esfuerzos para proteger sus propias organizaciones.» La principal constatación de los auditores fue que las instituciones, órganos y organismos de la UE no siempre cuentan con una protección adecuada frente a los ciberataques. Estos no atienden a las cuestiones de ciberseguridad de manera coherente, no siempre establecen controles básicos y buenas prácticas clave de ciberseguridad, ni imparten formación en ciberseguridad de forma sistemática. La asignación de recursos a la ciberseguridad es muy dispar, y algunos órganos de la UE gastan mucho menos que otros similares. Aunque las diferencias en los niveles de ciberseguridad podrían justificarse teóricamente por los distintos perfiles de riesgo de cada organización y el grado variable de sensibilidad de los datos gestionados, los auditores hacen hincapié en que los puntos débiles de un solo órgano de la UE pueden exponer otras organizaciones a amenazas de ciberseguridad (los órganos de la UE están conectados entre sí, y a menudo con otras organizaciones públicas y privadas en los Estados miembros).

El Equipo de Respuesta a Emergencias Informáticas (CERT-UE) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son las dos principales entidades de la UE encargadas de prestar apoyo en materia de ciberseguridad. Sin embargo, por la limitación de recursos o la prioridad de otros ámbitos, no han podido facilitar toda la ayuda necesaria a los órganos de la UE. Los auditores también señalan deficiencias en el intercambio de información. Por ejemplo, no todos los órganos de la UE comunican a su debido tiempo las vulnerabilidades ni los incidentes significativos de ciberseguridad que les han afectado y que pueden tener un impacto sobre otros.

Información de referencia

Actualmente no existe un marco legal para la seguridad de la información y la ciberseguridad en las instituciones, órganos y organismos de la UE. No están sujetos a la legislación más amplia de la Unión en materia de ciberseguridad (Directiva SRI 2016) ni a su propuesta de revisión (Directiva SRI2). Tampoco existe información completa sobre el importe invertido por los órganos de la UE en ciberseguridad. La normativa común sobre seguridad de la información y ciberseguridad de todos los órganos de la UE figura en la Comunicación sobre la Estrategia de la UE para una Unión de la Seguridad para el período 2020-2025, que publicó la Comisión en julio de 2020. En la Estrategia de Ciberseguridad de la UE para la Década Digital, publicada en diciembre de 2020, la Comisión se comprometió a proponer un reglamento relativo a las normas de ciberseguridad comunes para los órganos de la UE. También propuso el establecimiento de un nuevo fundamento legal para que el CERT-UE refuerce su mandato y su financiación.

FuenteTribunal de Cuentas Europeo
Artículo anteriorGuía de protección de datos para los colegios profesionales y consejos de colegios
Artículo siguiente¿Qué medidas ha tomado la Unión Europea ante los desafíos de estos tiempos convulsos?
Desde hace más de 30 años ha estado ligado y promoviendo actividades relacionando la geología y geociencias con los recursos electrónicos, internet y las redes sociales y científicas. Jefe de administración del Ilustre Colegio Oficial de Geólogos (ICOG) desde el año 1990. En 1991-1996 Relaciones públicas y posteriormente responsable de marketing de la revista Tierra y Tecnología del ICOG. En 1993-1996 dirigió la publicación “El Geólogo” y en 1997 fundó “El Geólogo Electrónico”. Coordinador de las ediciones I a III del GEA-CD (recopilación y difusión de software para docentes y profesionales de las ciencias de la tierra y el medio ambiente en formato CD-ROM) entre los años 1996 a 1998. Colabora con la ONG Geólogos del Mundo creando su intranet y poniendo en marcha su página web institucional. Desde el año 2000 es responsable de calidad del ICOG (ISO 9001). Ha sido ponente en distintos eventos organizados por Unión Profesional y Unión Interprofesional de la Comunidad de Madrid, sobre la calidad aplicada al sector colegial. Asimismo, ha impartido charlas sobre búsqueda de empleo y redes sociales en el ICOG, Unión Profesional y Universidad Complutense. En 2005 implanta el visado electrónico de proyectos en el ICOG. En el ámbito de las webs y redes científicas, es Community manager del ICOG. Webmaster de la revista Tierra y Tecnología, de la página institucional del ICOG, de la Escuela de Geología Profesional, de la Red Española de Planetología y Astrobiología y de la International Association for Geoethics. Delegado de protección de datos del ICOG desde el año 2018. Experto en digitalización del sector de colegios profesionales ha sido ponente en el taller virtual sobre la "Transformación Digital del Sistema Colegial", organizado por Unión Profesional y Wolters Kluwer en 2020. Ha sido distinguido como Geólogo de Honor por la Asamblea General del ICOG el 15 de abril de 2023.

SIN COMENTARIOS

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Salir de la versión móvil