El pasado 22 de enero de 2024, el Gobierno británico publicó el Cyber Governance Code of Practice, un documento clave destinado a ayudar a los consejos de administración y órganos de dirección a gestionar de forma proactiva los riesgos cibernéticos en sus organizaciones.
Este Código no es obligatorio, pero se presenta como un referente de buenas prácticas y está alineado con los marcos internacionales de ciberseguridad, incluida la norma ISO/IEC 27001, el NIST Cybersecurity Framework y las expectativas de reguladores como el ICO británico o la Financial Conduct Authority (FCA). Su objetivo: convertir la ciberseguridad en un asunto estratégico del más alto nivel dentro de la gobernanza corporativa.
¿A quién va dirigido?
El Código está pensado para:
• Consejos de administración y comités de dirección
• Directivos no ejecutivos (non-executive directors)
• Responsables de riesgos, cumplimiento, seguridad o tecnología
• Compañías medianas y grandes, aunque también es aplicable al sector público
Cinco principios clave del Código
1. Ciberseguridad como cuestión estratégica de negocio
La ciberseguridad debe considerarse una parte esencial de la estrategia empresarial, no solo un tema técnico. Las decisiones en este ámbito deben tomarse al más alto nivel.
2. Gobernanza clara de roles y responsabilidades
Se requiere una estructura de gobernanza clara, donde las funciones de supervisión, responsabilidad ejecutiva y control interno estén bien definidas. Esto implica, por ejemplo, la designación de responsables claros para los riesgos tecnológicos y cibernéticos.
3. Gestión efectiva del riesgo cibernético
Las organizaciones deben integrar los riesgos cibernéticos en su sistema general de gestión de riesgos, con procesos de identificación, evaluación y mitigación, tanto para amenazas internas como externas.
4. Capacidades organizativas y culturales adecuadas
La cultura empresarial debe integrar la ciberseguridad como un valor transversal. Se espera que los líderes fomenten la formación continua y la concienciación en toda la organización.
5. Preparación y resiliencia frente a incidentes
Las entidades deben estar preparadas para responder con rapidez a incidentes de ciberseguridad, con planes de respuesta actualizados, pruebas periódicas y mecanismos de recuperación y comunicación eficaces.
¿Qué aporta este Código frente a otros marcos?
El Cyber Governance Code of Practice se distingue por su enfoque corporativo y de gobernanza, complementando marcos técnicos más conocidos. Al poner el foco en el liderazgo, la rendición de cuentas y la cultura organizativa, ayuda a cerrar la brecha entre los equipos técnicos y los órganos de decisión, una de las carencias más comunes en la gestión real de los riesgos cibernéticos.
¿Y en la Unión Europea?
Aunque este Código es de aplicación en el Reino Unido, resuena con tendencias regulatorias internacionales, como la Directiva NIS 2 en la UE, el Digital Operational Resilience Act (DORA) en el sector financiero o las exigencias de gobernanza contenidas en el Reglamento Europeo de Inteligencia Artificial y el futuro Reglamento de Ciberresiliencia (Cyber Resilience Act).
Las empresas europeas con presencia en Reino Unido, así como aquellas que aspiran a un estándar internacional en su gobernanza tecnológica, harían bien en estudiar este Código como guía práctica de cumplimiento y madurez organizativa.
