Por Patricia Ojeda
Se acaba de hacer público el Código de Buen Gobierno de la Ciberseguridad elaborado por el Foro Nacional de Ciberseguridad. Desde la CNMV se ha difundido este documento que tiene como objetivo proponer a las organizaciones prácticas dirigidas a sustentar un modelo de buen gobierno de la ciberseguridad y facilitar su gestión en las redes y los sistemas de información.
Asimismo, pretende contribuir a la mejora del proceso de toma de decisiones en este ámbito por parte de los órganos de gobierno de las organizaciones y, en especial, por el órgano de administración. Este documento se ha elaborado como «guía
para el cumplimiento de las obligaciones de información que pudieran requerirle
Desde el documento se explica que no pretende constituirse un nuevo estándar de controles que deben implementarse para obtener con un determinado nivel de cumplimiento, sino que recoge trece principios que permitirían a las organizaciones verificar su madurez para lograr los objetivos necesarios. Para cada uno de estos principios, se aportan una serie de recomendaciones concretas, pudiendo ser por parte de la organización utilizado como guía para el cumplimiento de las obligaciones.
La adopción de estos principios además supone «una señal de madurez en ciberseguridad y contribuir tanto a una mejor gestión del riesgo como a la protección de sus objetivos y los de aquellos grupos de interés que puedan verse afectados por las actividades de la organización», detalla el Foro.
Tres grandes bloques
- Estrategia y organización: detalla los principios más importantes sobre los que los órganos de gobierno deben construir la estrategia y organización de la ciberseguridad. Estos principios están relacionados, de manera directa, con la gestión de la ciberseguridad.
- Gestión: conjunto de actividades, controles y decisiones fundamentales que deben las organizaciones para garantizar que disponen de una madurez adecuada en ciberseguridad, incluyendo la prevención, detección, respuesta y recuperación ante incidentes. Estos principios deben ser aplicados por la dirección de la organización desde la unidad de ciberseguridad o seguridad de la información.
- Supervisión: señala los elementos mínimos que deben validar los órganos de gobierno de la organización, así como los requerimientos básicos que debe cubrir la información requerida para poder realizar esta validación. Concreta cómo debería realizarse la supervisión de forma continua por parte de la dirección de las organizaciones y la unidad de ciberseguridad o seguridad de la información.
Aunque el Código no es un documento de la CNMV ni constituye una recomendación de la institución a las sociedades cotizadas, se hace eco para contribuir a su conocimiento entre las cotizadas y entidades supervisadas.
Fuente: Patricia Ojeda para Füture. Blog de Innovación en Seguros. By INESE. (14 julio, 2023)