El buen gobierno de la ciberseguridad

 

Gianluca D’Antonio, socio de Risk Advisory-Ciberseguridad de Deloitte
Coordinador del Grupo de Trabajo autor del Código de Buen Gobierno de la Ciberseguridad.

 

Recientemente, la CNMV publicaba el Código de buen gobierno de la Ciberseguridad, que constituye, según la institución, “una guía de principios dirigidas a sustentar un modelo de buen gobierno de la ciberseguridad”. El documento tiene como objetivo servir como herramienta para que cualquier organización, independientemente de su sector o tamaño, pueda utilizarlo como base para realizar una adecuada gobernanza de la ciberseguridad y es el resultado de una colaboración público-privada entre expertos del sector, el Foro Nacional de Ciberseguridad y la CNMV.

Accede al código           

El código tiene como destinatario los órganos de gobierno de las organizaciones y, en especial, el consejo de administración como responsable último de la gestión de riesgos.

La aplicación de los trece principios permite al órgano de administración impulsar un modelo de gestión del riesgo cibernético alineado con los objetivos de la organización, sufragado por suficientes recursos y orientado a la anticipación de las amenazas y de los incidentes.

Por cada uno de esos principios, los expertos aportan una serie de recomendaciones concretas para ayudar a la organización desde un enfoque práctico. Así, por ejemplo, el número 11 (Informe Periódico) señala como una buena práctica de gobierno -según las normas internacionales-, el reporte periódico de la situación de la ciberseguridad de la organización a los órganos de gobierno. En línea con lo anterior, el código incluye la recomendación número 20 que aconseja al “órgano de administración” de llevar a cabo “un seguimiento regular de la ciberseguridad, incluyendo este tema en el orden del día de sus reuniones y/o en las de sus comisiones delegadas correspondientes donde aplique (auditoría, riesgos, sostenibilidad u otras comisiones específicas para el tratamiento del riesgo de ciberseguridad). Para ello requerirá informes periódicos de la gestión de ciberseguridad al responsable ejecutivo (director de Seguridad de la Información o CISO, por sus siglas en inglés). Este reporte deberá realizarse periódicamente, siendo una buena práctica su realización “al menos dos veces al año.”

Con este trabajo, el Foro Nacional de Ciberseguridad ha querido impulsar el desarrollo de la línea de acción número 7 de la Estrategia Nacional de Ciberseguridad, que orientada a “promover la difusión de la cultura de la ciberseguridad como una buena práctica empresarial y reconocer la implicación de las empresas en la mejora de la ciberseguridad colectiva como responsabilidad corporativa.”

Hasta hace muy poco tiempo se consideraba la ciberseguridad como una disciplina técnica ligada a la administración de sistemas, pero muy alejada de la estrategia del negocio. Sin embargo, la realidad nos ha demostrado que esta visión no es una afirmación acertada. Los principios de gestión ilustrados en este Código -que podríamos definir como una guía de organización y conducta diligente- anticipan y abren el camino a la transposición de la reciente europea Directiva UE 2022/2555, conocida como NIS 2, que in­cluye medidas específicas de gobernanza de la ciberseguridad. La norma española tendrá que perseguir los objetivos de la Directiva allí donde aquella establece que los órganos de dirección de las organizaciones aprueben las medidas para la gestión de riesgos de ciberseguridad y supervisen su puesta en práctica.

Precisamente, lo que ilustran las recomendaciones de 1 a 4, relacionadas con el principio de alineamiento estratégico y visión de futuro, y las de 20 a 22, que dan contenido al principio 11 sobre el informe periódico, cuando afirma que “constituye una buena práctica de gobierno, según las normas internacionales, y en algunos casos una obligación, el reporte periódico de la situación de la ciberseguridad de la organización a los órganos de gobierno” de esta.

El buen gobierno es también saber gestionar diligentemente los riesgos relacionados con el uso de la tecnología para evitar que las consecuencias de un posible ataque impacten en la propia organización y afecten a las actividades de empleados, proveedores, clientes y grupos de interés.  Por ello y gracias a este esfuerzo público-privado, España demuestra una vez más su compromiso con el desarrollo de la sociedad de la información y se pone a la cabeza de los países que consideran la ciberseguridad un valor irrenunciable para una sociedad libre y democrática.

El sector de la ciberseguridad está viviendo cambios considerables a nivel global desde hace más de una década. La transformación digital de la sociedad, así como el aumento de la interconexión de los sistemas de información han convertido la ciberseguridad en una prioridad estratégica tanto para el sector privado como para el público.

En conclusión, aunque el código no es un documento de la CNMV -ni constituye una recomendación de esta institución a las sociedades cotizadas (dado el interés que puede tener para ellas y el creciente nivel de riesgo de ciberataques), la CNMV ha decidido sumarse a la iniciativa del Foro Nacional de Ciberseguridad contribuyendo a su difusión.

 

 

Pie de página