La pandemia de COVID-19 ha obligado a todas las organizaciones a acelerar la transformación digital y a adoptar el trabajo a distancia. Esto ha aumentado considerablemente la «superficie de ataque» al ampliarse el perímetro de las organizaciones hasta los hogares y dispositivos móviles conectados a Internet, donde pueden explotarse nuevas vulnerabilidades.

Los servicios de acceso remoto han sido una de las rutas más comunes por las que los grupos que lanzan amenazas persistentes avanzadas a las instituciones y organismos comunitarios obtienen acceso inicial a sus redes.

El número de ciberincidentes va en aumento y una tendencia especialmente preocupante es el espectacular aumento de incidentes significativos en el año 2021 se ha batido el récord en este sentido. Los incidentes significativos no son repetitivos ni básicos. Normalmente implican el uso de nuevos métodos y tecnologías y pueden requerir semanas o incluso meses de investigación y de recuperación. Los incidentes significativos se decuplicaron con creces durante el último trienio.

“Debido al drástico aumento de los ciberataques, los órganos de la UE necesitan una mayor preparación en ciberseguridad”

En el informe especial 5/2022 del Tribunal de Cuentas Europeo titulado “Ciberseguridad de las instituciones, órganos y organismos de la UE” se examina el nivel de preparación de las entidades públicas de la UE ante las ciberamenazas. Los auditores recomiendan la introducción de normas vinculantes en ciberseguridad, y que el equipo interinstitucional de respuesta a emergencias informáticas disponga de más recursos. Según los auditores, la Comisión Europea debería también fomentar una mayor cooperación entre órganos de la UE, y prestar mayor atención a los órganos con menor experiencia en la gestión de la ciberseguridad.

Entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE; además, el trabajo a distancia ha aumentado considerablemente el número de posibles puntos de acceso. En general, la causa de esos incidentes son complejos ciberataques que implican normalmente el uso de nuevos métodos y tecnologías, y pueden requerir semanas o incluso meses de investigación y de recuperación.

En general, el nivel de preparación no es proporcional a las amenazas y el grado de madurez con respecto a la ciberseguridad es muy variable.

La principal constatación de los auditores fue que las instituciones, órganos y organismos de la UE no siempre cuentan con una protección adecuada frente a los ciberataques. Estos no atienden a las cuestiones de ciberseguridad de manera coherente, no siempre establecen controles básicos y buenas prácticas clave de ciberseguridad, ni imparten formación en ciberseguridad de forma sistemática. La asignación de recursos a la ciberseguridad es muy dispar, y algunos órganos de la UE gastan mucho menos que otros similares. Aunque las diferencias en los niveles de ciberseguridad podrían justificarse teóricamente por los distintos perfiles de riesgo de cada organización y el grado variable de sensibilidad de los datos gestionados, los auditores hacen hincapié en que los puntos débiles de un solo órgano de la UE pueden exponer otras organizaciones a amenazas de ciberseguridad (los órganos de la UE están conectados entre sí, y a menudo con otras organizaciones públicas y privadas en los Estados miembros).

Los auditores también señalan deficiencias en el intercambio de información. Por ejemplo, no todos los órganos de la UE comunican a su debido tiempo las vulnerabilidades ni los incidentes significativos de ciberseguridad que les han afectado y que pueden tener un impacto sobre otros.

Políticas y responsabilidades

Los programas de formación y concienciación en materia cibernética son un elemento clave en un marco de ciberseguridad eficaz. Sin embargo, solo el 29 % de los organismos e instituciones comunitarias imparten formación obligatoria sobre ciberseguridad a los responsables de los sistemas informáticos que contienen información delicada, y la formación ofrecida suele ser informal. En los últimos cinco años, se han organizado varias campañas simuladas de phishing (o ejercicios similares). Estos ejercicios son una herramienta importante para formar y concienciar al personal, pero no todas las IOUE los utilizan sistemáticamente (véanse los apartados 34 a 36). Además, no todas las IOUE disponen de medidas regulares de ciberseguridad sujetas a una garantía independiente.

Los resultados de auditoría se basan en un amplio análisis de la documentación disponible, complementado por entrevistas. Realizaron una encuesta de autoevaluación en la que participaron sesenta y cinco organismos para recabar información sobre sus medidas de ciberseguridad y sus opiniones sobre la cooperación interinstitucional. Encuestaron a todas las organizaciones sujetas a los derechos de auditoría del Tribunal de Cuentas Europeo y que gestionan su propia infraestructura informática, incluido el propia Tribunal auditor. La tasa de respuesta fue del 100 %.

Constataron que el 78 % de las organizaciones cuentan con un modelo formal de política de seguridad de la información, mientras que solo el 60 % cuentan con un modelo formal de política de seguridad informática.

Otro elemento importante en la buena gobernanza de la ciberseguridad es el nombramiento de un responsable central de seguridad informática. Para evitar conflictos de intereses, debe tener cierto grado de independencia de la función o departamento informático.

Según la encuesta, el 60 % de las organizaciones no había designado a un responsable central de seguridad informática independiente o una función equivalente. Especialmente en las organizaciones de tamaño pequeño y mediano, sus responsables centrales tienden a asociarse con más funciones operativas y no son funcionalmente independientes del departamento informático. Esto puede limitar su autonomía para aplicar sus prioridades en relación con la seguridad.

El tamaño no importa en Ciberseguridad

Desde hace años, la Sindicatura de Cuentas de la Comunidad valenciana ha incorporado a sus planes de fiscalización informes regulares sobre ciberseguridad del sector público.  Antonio Minguillón tiene múltiples referencias en esta bitácora, como impulsor intelectual de esta línea de trabajo. En sintonía con el plan estratégico, la Sindicatura realiza auditorías de los controles básicos de ciberseguridad (CBCS) donde analiza los niveles de madurez en ocho áreas. Entre los últimos trabajos, el recientísimo Informe de auditoría de los Controles básicos de ciberseguridad de la Diputación de Valencia (ejercicio 2021) que muestra un valor del 51%, por lo que todavía debe mejorar para alcanzar el objetivo del 80%.

El trabajo ha identificado diversas deficiencias significativas y en todos los controles analizados se deben realizar esfuerzos para su mejora, ya que ninguno alcanza el nivel de madurez requerido, el citado 80%. En particular, existen cuatro áreas que tienen un nivel de madurez deficiente, sobre los que se debe trabajar con mayor intensidad para reforzar la protección de los sistemas de información.

Este modelo proporciona una base sólida para formarse una idea general de la situación en la entidad revisada en relación con los controles de ciberseguridad y el cumplimiento de la legalidad en esta materia. También permite comparar resultados entre distintos entes y entre distintos periodos. Una idea genial convertida en la principal herramienta simple para medir un tema tan complejo.

La Sindicatura señala varios aspectos pendientes de mejora sobre los que se debe actuar para su pronta subsanación. La revisión del cumplimiento de legalidad en materia relacionada con la seguridad de la información ha puesto de manifiesto un bajo nivel de adecuación a las normas legales.

«Hemos podido verificar que la Diputación no tiene establecida una adecuada gobernanza de la ciberseguridad»

Respecto del Esquema Nacional de Seguridad, señala que la Diputación debe realizar los nombramientos necesarios, en especial el responsable de seguridad, y solventar las no conformidades identificadas en la auditoría de cumplimiento realizada, de forma que le permita obtener la certificación de conformidad y el distintivo correspondiente para su publicación en la sede electrónica.