Se aprueba el Código de Buen Gobierno de Ciberseguridad

El pasado viernes 14 de julio el Foro Nacional de Ciberseguridad publicó el Código de Buen Gobierno de la Ciberseguridad, en cuya elaboración ha participado la Comisión Nacional del Mercado de Valores (CNMV).

¿A quién se dirige?

• A los órganos de gobierno de cualquier organización que persiga realizar una adecuada gobernanza de la ciberseguridad con independencia de su tamaño, sector, actividad o madurez.
• Por el especial interés que puede tener para las sociedades cotizadas y entidades supervisadas el Código ha sido difundido por la CNMV, que ha participado en su elaboración.

¿Tiene carácter obligatorio?

Como indica el propio código, "no es una definición de un nuevo estándar de controles ni un manual de implantación”. Por el contrario, se trata de un conjunto de principios y recomendaciones generales que se aplicarán, con carácter voluntario.

¿Cuál es su finalidad?  

• Proponer una serie de prácticas a las organizaciones que permitan crear y sustentar su modelo de buen gobierno de la ciberseguridad facilitando así la gestión de la seguridad de la información.
• Contribuir a mejorar la toma de decisiones por parte de los órganos de administración y de la alta dirección de las organizaciones haciéndoles más conscientes sobre los riesgos en materia de ciberseguridad, y sobre su rol y responsabilidad en su gestión.

De alguna manera, este código pretende servir como "hoja de ruta" a los órganos de administración y alta dirección en la gestión de la ciberseguridad dentro de sus organizaciones.

Principios y recomendaciones

El Código contiene una serie de principios o valores que se estructuran en tres bloques:

• Primer bloque. Estrategia y organización de la ciberseguridad.
• Segundo bloque. Gestión de la ciberseguridad.
• Tercer bloque. Supervisión y revisión continua.

Todos estos principios se deberán aplicar de forma proporcional y adaptados a las circunstancias de cada una de las organizaciones.

Entre estos principios destacan el de:

• La responsabilidad y organización, dirigido a nombrar una serie de responsables, equipos o comités dentro de cada organización y adaptados a las necesidades de cada una, que asuman las funciones propias de la gestión en materia de ciberseguridad.
• La dotación de recursos, siendo responsabilidad de los órganos de administración asegurar que se disponen de recursos materiales y humanos suficientes para la gestión adecuada de la ciberseguridad.
• La formación y concienciación, con el fin de asegurar que todo el personal dentro de la organización (incluidos los miembros del órgano de administración y la alta dirección) cuentan con la formación suficiente y crear así una cultura de ciberseguridad.
• La gestión de riesgos como elemento clave debiendo realizar evaluaciones de riesgo de forma periódica (anualmente como mínimo).
• La gestión de incidentes y resiliencias, fijando procedimientos internos que permitan la continuidad y resiliencia de la actividad en la organización tras ocurrir un incidente.
• El seguimiento e informe periódico desde la perspectiva de que el órgano de administración lleve a cabo un seguimiento regular de la ciberseguridad dentro de su organización por medio de reportes periódicos (al menos dos veces al año) que le permita tener una visión global sobre las cuestiones más relevantes y tomar decisiones de forma adecuada.

En conclusión, la publicación del Código de Buen Gobierno de la Ciberseguridad permite ser un punto de partida para no solo concienciar a los órganos de administración y alta dirección sobre su rol y responsabilidad en esta materia, sino darles las primeras claves principales para implementar sistemas de gestión de ciberseguridad adaptados a las especialidades de cada organización.