El Foro Nacional de Ciberseguridad, espacio encuadrado en el Sistema de Seguridad Nacional e integrado por representantes de la sociedad civil, expertos independientes, sector privado, instituciones académicas, asociaciones y organismos sin ánimo de lucro, entre otros, aprobó el pasado 14 de julio de 2023 el Código de Buen Gobierno de la Ciberseguridad, en cuya elaboración ha participado activamente la Comisión Nacional del Mercado de Valores (CNMV).
El documento refiere que «no es una definición de un nuevo estándar de controles ni un manual de implantación». Se trata, más bien, de un compendio de principios y recomendaciones generales que se aplicarán, en todo caso, con carácter voluntario.
Entre sus objetivos se encuentra:
- Integrar en un único código los principios maestros para gobernar la ciberseguridad.
- Desarrollar un documento de ayuda para el órgano de administración de la organización y su equipo directivo.
- Formar y concienciar a los órganos de gobierno y a los equipos directivos de las organizaciones sobre su rol y responsabilidad en materia de ciberseguridad.
- Proporcionar una visión integrada de las responsabilidades de supervisión y reporte de la ciberseguridad.
Los principios que imperan en la ciberseguridad, a juicio del foro proponente, son:
- Proporcionalidad
- Alineamiento estratégico y visión de futuro
- Responsabilidad y organización
- Ética y cumplimiento
- Modelo de gestión
- Dotación de recursos
- Gestión de incidentes y resiliencia
- Formación y concienciación
- Innovación y mejora continua
- Ciberinteligencia
- Informe periódico
- Continuidad
- Gestión del riesgo
El documento proporciona un total de 25 recomendaciones asociadas a los referidos principios.
Conclusión
El documento es interesante, principalmente, para concienciar a los órganos de dirección y a la alta dirección de la empresa de su responsabilidad y rol en materia de ciberseguridad.
Las soluciones en ciberseguridad implican inversión y mantenimiento de las medidas y son muchos los directivos que prefieren asumir el riesgo. Piensan que sus organizaciones no son un objetivo para los hackers. Cuan equivocados están. Todos somos objetivos potenciales, y si se lo ponemos fácil, más pronto que tarde, caeremos en sus redes.