Tribunal de Cuentas Europeo – EU
Sinopse: El Reglamento sobre la Ciberseguridad de la UE define la ciberseguridad como «todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas». Debido a la información delicada que tratan, las instituciones, órganos y organismos de la UE (IOUE) son un blanco atractivo para los posibles atacantes, en particular para los grupos capaces de ejecutar ataques sigilosos muy sofisticados con fines de ciberespionaje, entre otros. Las IOUE están estrechamente interconectadas pese a su independencia institucional y si autonomía administrativa.
En consecuencia, los puntos débiles de una IOUE pueden exponer a las demás a amenazas de seguridad.
Dado que el número de ciberataques contra ellas está aumentando considerablemente, el objetivo de esta auditoría era determinar si las IOUE, en conjunto, han establecido mecanismos adecuados para protegerse contra las ciberamenazas. Concluimos que el nivel de preparación la comunidad de IOUE no está a la altura de las amenazas.
Constatamos que no siempre se aplicaban buenas prácticas esenciales de ciberseguridad, como algunos controles esenciales, y que los gastos en ciberseguridad en varias IOUE son insuficientes. En algunas IOUE tampoco existe una buena gobernanza de la ciberseguridad: en muchos casos, no existen estrategias de seguridad informática, o estas no están respaldadas por la alta dirección, las políticas de seguridad no siempre se formalizan y las evaluaciones de riesgos no abarcan todo el entorno informático. No todas las IOUE disponen de medidas regulares de ciberseguridad sujetas a una garantía independiente.
