¿Qué significa para su empresa el Código de prácticas de cibergobernanza del gobierno del Reino Unido?

Hubo un tiempo en el que la ciberseguridad se consideraba en gran medida una función tecnológica. No más. Los gobiernos y reguladores de todo el mundo exigen cada vez más que las juntas directivas asuman más responsabilidad en la gestión del riesgo cibernético. esta en nuevo Las reglas de la SEC introducido el año pasado y en el próximo Directiva NIS2, que hará personalmente responsable a la alta dirección de las infracciones graves. Para no quedarse atrás, el gobierno del Reino Unido está haciendo lo mismo con una propuesta de nueva Código de Prácticas para la cibergobernanza.

Aunque es voluntario, el gobierno ha manifestado su intención de incorporar el código al “panorama regulatorio existente”. Las juntas harían bien en tomar nota.

¿Qué hay en la Guía?

Publicado en enero en forma de borrador, el código llega en medio de un desalentador trasfondo de violaciones. De acuerdo con la gobierno, más de la mitad de las empresas medianas (59%) y grandes (69%) del Reino Unido sufrieron un ciberataque o una infracción grave en los 12 meses hasta abril de 2023. El mismo estudio revela que, aunque casi tres cuartas partes (71%) de los altos directivos dicen que ven la ciberseguridad como una “alta prioridad”, solo el 30% de las empresas tienen miembros de la junta directiva o fideicomisarios explícitamente responsables de la ciberseguridad como parte de su función.

Con ello, el código de prácticas se divide en cinco pilares:

Gestión de riesgos: Asegurar que los procesos, datos y servicios digitales más críticos de la empresa hayan sido identificados, priorizados y acordados. Esto incluye evaluaciones periódicas de riesgos y medidas de mitigación, decisiones sobre los niveles de riesgo y gestión de riesgos de proveedores.

Estrategia cibernética: Monitorear y revisar la estrategia de ciberresiliencia en línea con el apetito de riesgo, la estrategia comercial y las obligaciones legales y regulatorias. Esto incluye garantizar que se asignen los recursos adecuados de acuerdo con el riesgo empresarial en constante cambio.

Gente: Patrocinar comunicaciones sobre la importancia de la ciberresiliencia para el negocio, ofrecer políticas claras de ciberseguridad que apoyen una cultura de seguridad positiva e impulsar y participar en programas de formación en seguridad.

Planificación y respuesta a incidentes: Garantizar que la organización tenga un plan para responder y recuperarse de incidentes cibernéticos que afecten a los procesos y servicios críticos para el negocio. Esto incluye pruebas periódicas del plan, revisiones posteriores al incidente y asumir la responsabilidad de las obligaciones reglamentarias.

Aseguramiento y supervisión: Establecer una estructura de gobernanza que se alinee con la organización, incluida una definición clara de funciones y responsabilidades, y la propiedad de la ciberresiliencia a nivel directivo. Monitorear la resiliencia cibernética por parte de los reguladores, establecer un diálogo bidireccional con ejecutivos clave e informes trimestrales formales, y garantizar que la estrategia de resiliencia cibernética esté integrada en los mecanismos de aseguramiento existentes.

¿Cómo deberían responder las organizaciones?

Darren Anstee, CTO de Netscout, sostiene que las juntas directivas tradicionalmente han tenido problemas con la planificación de incidentes.

“La orientación es que las pruebas del plan de manejo de incidentes de una organización y la capacitación asociada deben realizarse al menos una vez al año. La mayoría de las organizaciones hacen esto ahora, y es mucho mejor que hace una década, pero hacerlo anualmente no es lo suficientemente frecuente”, le dice a ISMS.online.

“Queremos que las pruebas impulsen la familiaridad y la optimización del proceso; no debería consistir únicamente en descubrir dónde debe actualizarse el plan porque ya no coincide con los procesos y la tecnología de una organización. Ese es el riesgo de realizar pruebas anualmente.

Anstee añade que las juntas también podrían mejorar su seguridad y supervisión.

“El desafío aquí no es nuevo, ya que puede resultar difícil traducir lo que sucede en términos de defensa contra amenazas y riesgo cibernético en algo significativo a nivel de riesgo empresarial”, argumenta.

“Esto generalmente significa correlacionar múltiples conjuntos de datos para generar métricas y visualizaciones comprensibles. Esto es posible y muy importante si queremos que el riesgo cibernético se gestione bien, pero muchas organizaciones no tienen los recursos para hacerlo bien”.

Kevin Curran, miembro senior del IEEE y profesor de ciberseguridad en la Universidad de Ulster, sostiene que las juntas directivas a menudo no logran gestionar adecuadamente el riesgo cibernético porque carecen de compromiso, experiencia y concentración.

“Algunas áreas en las que las organizaciones están fallando incluyen no realizar evaluaciones de riesgos exhaustivas o no establecer estrategias claras de ciberseguridad, lo que las deja vulnerables a las amenazas. Otras áreas son la inversión inadecuada, las políticas obsoletas, la mala comunicación entre departamentos y un enfoque centrado en el cumplimiento que también puede socavar la gobernanza de la ciberseguridad”, le dice a ISMS.online.

"En última instancia, el código debería ayudar a las organizaciones a establecer marcos de gobernanza sólidos, involucrar liderazgo en las decisiones de ciberseguridad, realizar evaluaciones periódicas de riesgos, asignar recursos suficientes, fomentar una cultura consciente de la ciberseguridad y mejorar continuamente sus prácticas de gobernanza de ciberseguridad para adaptarse a las amenazas en evolución".

Próximos pasos con ISO 27001

El cumplimiento de los estándares y marcos de mejores prácticas como ISO 27001, NIST Cybersecurity Framework, CIS Controls y COBIT podría ayudar a las juntas directivas a avanzar en gran medida para alcanzar sus objetivos bajo los cinco pilares, sostiene Curran.

“ISO 27001 ofrece un enfoque sistemático para identificar, evaluar y mitigar los riesgos de seguridad, ayudando a priorizar los activos digitales e integrando la gestión de riesgos en la gobernanza. También beneficiará a la estrategia cibernética, ya que alinea un Sistema de Gestión de Seguridad de la Información (SGSI) con la estrategia empresarial, garantizando una asignación eficiente de recursos para el seguimiento y revisión de la estrategia de ciberseguridad”, explica.

“ISO 27001 promueve la cultura de seguridad a través de políticas y capacitación, mejorando la alfabetización cibernética de los empleados en línea con la estrategia de seguridad de la organización. También fomenta la planificación de la respuesta a incidentes... y ayuda a definir roles, monitorear, informar y comunicarse con los altos ejecutivos, facilitando la integración de la ciberseguridad en las estructuras de gobierno".

Aunque es voluntario, el código desempeñará un papel importante en el cambiante panorama regulatorio, explica Sarah Pearce, socia de Hunton Andrews Kurth.

"La Ley de Sociedades de 2006 y el Código de Gobierno Corporativo del Reino Unido contienen ciertos requisitos y entiendo que este código y la guía asociada deben actualizarse para garantizar la coherencia con el código de prácticas [de cibergobernanza] propuesto por el gobierno", le dice a ISMS.online.

“El gobierno ha dicho que reconoce que el código 'no es suficiente por sí solo para impulsar las mejoras necesarias en la gestión del riesgo cibernético a nivel de la junta directiva'. Está explorando su uso para ayudar a los reguladores a comprender cómo podría usarse para ayudar con el cumplimiento normativo, incluido el RGPD del Reino Unido y las regulaciones NIS ".