El ‘Nuevo Código de Buen Gobierno de la Ciberseguridad’ del Foro Nacional de Ciberseguridad ofrece recomendaciones generales para realizar una adecuada gobernanza de la ciberseguridad
La ciberseguridad se ha convertido en el pilar estratégico sobre el que poder asentar la revolución digital que han experimentado todos los sectores de la sociedad. Los nuevos retos derivados de la materialización de amenazas en el ciberespacio han generado un aumento de los ciberataques, cade vez más frecuentes y con una tecnología más sofisticada.
Hacer frente a esta situación requiere de mayores medidas de seguridad como políticas de revisión, mejoras continuadas y optimización de los controles, aplicadas tanto a la defensa del valor y funcionamiento de las instituciones como a la protección de los datos de los ciudadanos.
Buscando alcanzar este objetivo la Comisión Nacional del Mercado de Valores (CNMV) ha difundido este jueves el ‘Nuevo Código de Buen Gobierno de la Ciberseguridad’, que proporciona asesoramiento general con el fin de que cualquier organización pueda utilizarlo para conseguir un adecuado control de la ciberseguridad.
Este código ha sido elaborado en el seno del Foro Nacional de Ciberseguridad, con el objetivo de proponer practicas orientadas a alcanzar un buen gobierno de la ciberseguridad y facilitar su gestión en las redes y medios. Es el fruto final del trabajo de grupo compuesto por expertos en materia de ciberseguridad, así como del análisis de distintas normativas y estándares existentes, examinadas desde una perspectiva práctica y actual, para la mejora del buen gobierno corporativo en materia de ciberseguridad.
Asimismo, teniendo en cuenta este objetivo general, en el código se habla de otros objetivos específicos como la necesidad de integrar en un único código de buen gobierno los principios maestros para gobernar la ciberseguridad. En este sentido se busca disponer de un enfoque común de medidas que permitan un seguimiento del cumplimiento de estándares en el ámbito de la ciberseguridad.
En segundo lugar, este documento pretende ser una herramienta de apoyo para el órgano de administración de la organización y su equipo directivo. Además, intenta servir como referencia para que los administradores y órganos de gobierno de las instituciones conozcan su rol y responsabilidad en el campo de la ciberseguridad corporativa.
Desde el Foro recalcan la importancia de «identificar las principales materias relacionadas con la gestión y los riesgos en materia de ciberseguridad que deben ser tratadas por una organización, así como, las sesiones en las que dichas cuestiones deban abordarse y su periodicidad». Por otra parte, define las responsabilidades de supervisión y reporte de la ciberseguridad. De la misma forma, proporciona orientación sobre posibles eventos o incidentes que deben ser reportados a los órganos supervisores y a la dirección.
La CNMV ha explicado que “este documento no pretende constituirse en un nuevo estándar de controles que deben implementarse para obtener con un determinado nivel de cumplimiento, sino que recoge trece principios que permitirían a las organizaciones verificar su madurez para lograr los objetivos necesarios”. Estos podrían considerarse como el soporte de la visión, misión y objetivos estratégicos de la gestión del riesgo asociado a la ciberseguridad. Su seguimiento tendría el objetivo de mejorar el proceso de toma de decisiones por parte de los órganos responsables de cualquier organización.
Estos principios y recomendaciones se refieren a la proporcionalidad; alineamiento estratégico y visión de futuro; responsabilidad y organización; ética y cumplimiento; modelo de gestión; dotación de recursos; gestión de incidentes y resiliencia; formación y concienciación; innovación y mejora continua; ciberinteligencia; informe periódico; continuidad, y gestión del riesgo.
Según el Foro Nacional de Ciberseguridad la efectiva incorporación de los principios y recomendaciones recogidos en el Código por parte de una organización reflejarían la madurez en materia de ciberseguridad y su intención contribuir tanto a una mejor gestión del riesgo como a la protección de sus objetivos y los de aquellos grupos de interés que puedan verse afectados por las actividades de la organización.