La ciberseguridad se ha convertido en el pilar estratégico para garantizar la seguridad en la era de la revolución digital, abarcando a diferentes sectores de la sociedad, desde administraciones públicas hasta empresas y ciudadanos. La necesidad de una adecuada gobernanza de la ciberseguridad ha llevado a la evolución del marco regulatorio, tanto a nivel nacional como europeo, para fortalecer la seguridad ante los crecientes riesgos de ciberataques.
En este contexto, la Comisión Nacional del Mercado de Valores ha difundido el Código de Buen Gobierno de la Ciberseguridad, elaborado por el Foro Nacional de Ciberseguridad. Este código ofrece recomendaciones prácticas para sustentar un modelo de buen gobierno de la ciberseguridad en cualquier organización, con el objetivo de mejorar el proceso de toma de decisiones en esta área y facilitar la gestión de redes y sistemas de información.
El Código de Buen Gobierno de la Ciberseguridad surge ante los nuevos desafíos que suponen los ciberataques cada vez más frecuentes y sofisticados. Su objetivo es proponer prácticas para sustentar un modelo de buen gobierno en ciberseguridad, facilitando la gestión de la seguridad de redes y sistemas de información. Se establecen cuatro objetivos específicos: integrar principios maestros para gobernar la ciberseguridad, proporcionar una guía para el órgano de administración, formar y concienciar a los equipos directivos sobre su rol en ciberseguridad, y definir responsabilidades de supervisión y reporte en esta materia.
Este Código no busca ser un nuevo estándar de controles, sino una guía de trece principios fundamentales que permitirán a las organizaciones verificar su madurez en ciberseguridad y lograr los objetivos necesarios.
Estos principios incluyen el enfoque en la proporcionalidad, el alineamiento estratégico y la visión de futuro, la responsabilidad y organización, la ética y el cumplimiento, el modelo de gestión, la dotación de recursos, la gestión de incidentes y resiliencia, la formación y concienciación, la innovación y mejora continua, la ciberinteligencia, el informe periódico, la continuidad y la gestión del riesgo. Cada principio se acompaña de recomendaciones específicas para su implementación, adaptadas a las necesidades y características de cada organización.
El organismo resalta que este Código no es un documento oficial de la CNMV ni una recomendación para las sociedades cotizadas, pero su relevancia en el actual escenario de ciberamenazas lleva a su difusión y conocimiento entre las entidades supervisadas. El Código no es un nuevo estándar de controles, sino una guía práctica para mejorar la gestión de ciberseguridad en las organizaciones.