La preocupación por la ciberseguridad debe liderarse desde el propio comité de dirección. Ese es el mensaje que lanza la Comisión Nacional de Mercados y Valores (CNMV) con su Código de buenas prácticas en Ciberseguridad publicado el pasado mes de julio. Un código que, aunque no constituye un nuevo estándar de controles de obligado cumplimiento, sí propone a las organizaciones las prácticas dirigidas a sustentar el modelo de buen gobierno de ciberseguridad. Porque “la ciberseguridad ya no es un problema o responsabilidad exclusiva de los CIOS y CISO, sino que vertebra a toda la organización. Afecta a los procesos, a la operativa e incluso a la reputación y, por eso, debe estar impulsado desde el más alto nivel. Por eso este Código es un salto hacia adelante”, señala Javier Aznar, socio del departamento de Riesgo Tecnológico y Ciberseguridad de KPMG en España.
Y es que esta era una de las demandas de los profesionales de ciberseguridad de los últimos tiempos. Sin ir más lejos, en el último informe ‘Claves de ciberseguridad de 2023’, elaborado por KPMG, 1 de cada 2 ejecutivos encuestados dudaba de que la relación entre el consejo y el CISO se caracterizase por una “elevada confianza”. Es más, 1 de cada 3 encuestados manifestaba en este mismo informe que no se consideraba al CISO un ejecutivo clave y que, de hecho, tenía menos influencia de la que necesita para proteger a la organización y a sus datos. A lo que se une que más de un tercio de las organizaciones era consciente de que una mayor confianza genera mayor rendimiento.
Esta es, precisamente, la situación que el Código de buenas prácticas publicado por la CNMV tiene como objetivo revertir. Porque “nuestro hilo conductor es la confianza que deposita la empresa en sus responsables de ciberseguridad. Que haya tranquilidad y seguridad cuando un responsable de ciberseguridad reporte hacia el comité en que esa práctica está controlada y estandarizada”, apunta Sergio Gómez, socio del departamento de Riesgo Tecnológico y Ciberseguridad de KPMG en España.
De ahí que el Código de buen gobierno de la ciberseguridad ofrezca recomendaciones de alcance general, que se organizan en principios para que pueda ser utilizado por cualquier organización que quiera realizar una adecuada gobernanza de la ciberseguridad, independientemente de su tamaño, sector, actividad o incluso grado de madurez en la materia. De hecho, en el código se explicita que “la efectiva incorporación de los principios y recomendaciones recogidos en el presente Código por parte de una organización podría interpretarse de hecho como una señal de madurez en ciberseguridad y contribuir tanto a una mejor gestión del riesgo como a la protección de sus objetivos y los de aquellos grupos de interés que puedan verse afectados por las actividades de la organización”.
Concretamente, recoge 13 principios que encarnan los valores, las experiencias y normas que han de orientar y regular el buen gobierno de la ciberseguridad y se agrupan en los siguientes tres grandes bloques.
Así, para quienes este código va a suponer un mayor impulso es “para ese compendio de empresas Tier 2 o 3 que no han podido hacer tanto esfuerzo en materia de ciberseguridad, en contraposición con empresas más grandes y con mayores recursos, que tengan un mayor recorrido en ciberseguridad. Son estas compañías de menor tamaño quienes van a poder extraer mayor beneficio de este documento para poder pedir más partida presupuestaria y para que se respalde su función desde los comités de dirección”, insiste Sergio Gómez.
Ahora bien, para poder integrar de manera efectiva los principios recogidos en el Código de buen gobierno, es necesario ir bien acompañado y establecer una estrategia pautada, teniendo en cuenta que será necesario establecer a su vez políticas de revisión y de mejora continua.
En este sentido, lo primero es llevar a cabo un análisis de la situación para conocer el estado actual en materia de gobierno de ciberseguridad, seguido de la identificación de brechas actuales en el cumplimiento y la gestión de riesgos. A continuación, es importante evaluar la magnitud de las vulnerabilidades, valorar el nivel de madurez de la ciberseguridad en la organización para poder priorizar las áreas clave de cara a un plan de acción de éxito. Y, por último, no puede faltar la supervisión y garantía de que ese plan de acción se ejecuta de manera correcta.
Con todo ello, “las organizaciones podrán hacer frente de la manera más controlada posible a los retos de ciberseguridad que, cada vez más, caracterizan el entorno en el que nos movemos”, concluye Javier Aznar. Ya que el foco en esta materia no tiene visos de disiparse: según la última edición de ‘Perspectivas España 2023’, elaborada por KPMG, uno de cada tres empresarios españoles (33%) reconocía que su organización había sufrido un ciberataque en los 12 últimos meses.
