El Foro Nacional de Ciberseguridad ha publicado el Código de Buen Gobierno de la Ciberseguridad, sobre el que ha trabajado el Grupo de Trabajo Número 1 de Cultura de dicho Foro Nacional.
El Código de Buen Gobierno parte de la idea de que la ciberseguridad es un pilar esencial en la revolución digital y, como reflejo de dicho papel reconoce que la normativa en materia de ciberseguridad ha ido evolucionando, reforzando y aumentando las obligaciones en materia de seguridad en los distintos sectores, habiéndose plasmado eta perspectiva no solo en la normativa estatal española, sino también a nivel europeo.
El Código de Buen Gobierno no es un instrumento vinculante, siendo su contenido una recopilación de recomendaciones de carácter general, organizadas bajo principios, con el objetivo de que estas recomendaciones puedan ser utilizadas como guía por distintas organizaciones, sin que importe su sector, tamaño, etc.
No obstante, y sin perjuicio de que estas recomendaciones puedan ser aplicadas por cualquier organización, el Código concreta que las recomendaciones y medidas se deben aplicar bajo el principio de proporcionalidad en cada organización, de modo que en su implantación en una organización concreta sí se deberán tener en cuenta aspectos particulares de la misma, como el tamaño de la organización, sus recursos o la complejidad de la medida.
Por ello, este Código de Buen Gobierno resulta un documento interesante, por cuanto aunque no establece unas medidas vinculantes, su consideración por las organizaciones sí puede ayudar a facilitar la gestión de la seguridad de las redes y sistemas de información, así como mejorar el proceso de toma de decisiones en el ámbito de las organizaciones.
Como hemos adelantado, el contenido del Código de Buen Gobierno se concreta por medio de recomendaciones recopiladas bajo principios concretos, encontrándose dichos principios organizados en los siguientes bloques:
- Estrategia y organización: recoge los principios sobre los que se debe construir la estrategia de ciberseguridad, estableciendo las recomendaciones sobre la base de los principios de alineamiento estratégico y visión de futuro, responsabilidad y organización y ética y cumplimiento;
- Gestión: recoge el conjunto de actividades, controles y otras decisiones que deben aplicarse en la organización para garantizar la madurez de la ciberseguridad; estableciendo recomendaciones sobre la base de los principios de modelo de gestión, dotación de recursos, gestión de incidentes y resiliencia, formación y concienciación e innovación y mejora continua.
- Supervisión: concreta como debería desarrollarse la supervisión de la unidad de ciberseguridad o seguridad de la información, estableciendo las recomendaciones sobre la base de los principios de cibertinteligencia, informe periódico, continuidad y gestión del riesgo.
Dentro de los tres bloques expuestos, cabe destacar las siguientes recomendaciones:
1. Estrategia y organización
- Reconocimiento por parte de la organización en un documento público los compromisos de ciberseguridad de la organización;
- Definición de planes a corto, medio y largo plazo que aseguren la mejora de la ciberseguridad;
- Establecimiento en la organización de la ciberseguridad como uno de los ámbitos de la política de control y gestión de riesgos;
- Contar en la organización con:
- mínimo un miembro en la organización con experiencia en gestión de la ciberseguridad;
- una unidad que asuma la definición, impulso y control de la ciberseguridad, que deberá ser dotada de suficientes recursos y ser presidida por un Director de Seguridad de la Información (“Chief Information Security Officer” o “CISO”); y
- un comité de ciberseguridad.
2. Gestión
- Necesidad de que el órgano de administración vele por que la unidad de ciberseguridad cuente con suficientes recursos.
- Definición de lo que es un “incidente significativo” a efectos de cibersguridad para la organización y establecimiento de grupos operativos encargados de su gestión.
- Fomento, desde el órgano de administración de la organización, de la formación, concienciación y cultura de la ciberseguridad en su organización.
3. Supervisión
- Apoyo de la organización en la ciberinteligencia para la gestión de ciberamenazas. Se recomienda que el comité de ciberseguridad informe al órgano de administración de las ciberamenazas que puedan afectar a la organización.
- Realización de un seguimiento regular de la ciberseguridad, recomendándose la realización de informes periódicos en materia de ciberseguridad que recojan aspectos como el estado de la ciberseguridad, la evolución de las amenazas, la disposición de recursos, incidentes significativos que hubiera habido, entre otros.
- Desarrollo de pruebas concretas para comprobar el funcionamiento de las medidas establecidas en materia de ciberseguridad.
- Realización de evaluaciones independientes a la unidad de ciberseguridad que permitan al órgano de administración tener otro punto de vista sobre la gestión de riesgos y ciberseguridad en la organización.
Finalmente, el Código de Buen Gobierno está disponible en la página web de la Comisión Nacional del Mercado de Valores (la “CNMV”) a través del siguiente enlace: http://cnmv.es/DocPortal/Ciberseguridad/CBG_Ciberseguridad.pdf