El 8 de abril de 2025, el gobierno británico lanzó el Cyber Governance Code of Practice, una guía que redefine el papel de los consejos de administración en la gestión de riesgos cibernéticos. En un contexto de amenazas crecientes y dependencia digital, esta iniciativa busca trasladar la ciberseguridad del ámbito técnico al estratégico.
¿Qué es el Cyber Governance Code of Practice?
Es un código de buenas prácticas desarrollado por el Department for Science, Innovation and Technology (DSIT) y el National Cyber Security Centre (NCSC), en colaboración con expertos del sector privado. Su objetivo es proporcionar a los directivos una hoja de ruta clara para gobernar eficazmente los riesgos cibernéticos en sus organizaciones.
Principios clave del código
El código se estructura en cinco áreas fundamentales:
1. Gestión de riesgos: Identificación y priorización de activos críticos, integración de la ciberseguridad en la gestión de riesgos empresariales y evaluación de riesgos en la cadena de suministro.
2. Estrategia: Desarrollo de una estrategia cibernética alineada con la estrategia organizacional, cumplimiento normativo y asignación efectiva de recursos.
3. Personas: Fomento de una cultura de ciberseguridad, políticas claras y formación continua para mejorar la alfabetización cibernética en todos los niveles.
4. Planificación y respuesta a incidentes: Preparación para responder eficazmente a incidentes cibernéticos, minimizando su impacto y asegurando la continuidad del negocio.
5. Aseguramiento y supervisión: Establecimiento de mecanismos de supervisión y auditoría para garantizar la eficacia de las medidas de ciberseguridad implementadas.
Cada área incluye acciones específicas que los directivos deben emprender para fortalecer la resiliencia cibernética de sus organizaciones.
¿A quién va dirigido?
Aunque está diseñado principalmente para medianas y grandes empresas, el código también es relevante para pequeñas organizaciones, especialmente aquellas que forman parte de cadenas de suministro críticas. El NCSC ofrece recursos adicionales adaptados a las necesidades de las pequeñas empresas.
¿Por qué es importante?
Según el Cyber Security Breaches Survey 2024, el 74% de las grandes empresas y el 70% de las medianas han sufrido incidentes cibernéticos en el último año. Sin embargo, solo el 30% de las organizaciones cuenta con miembros del consejo con responsabilidad explícita en ciberseguridad. Este código busca cerrar esa brecha, promoviendo una gobernanza activa y consciente de los riesgos digitales.
Recursos complementarios
El código se acompaña de:
• Formación en gobernanza cibernética: Módulos diseñados para mejorar la comprensión de los riesgos cibernéticos a nivel directivo.
• Cyber Security Toolkit for Boards: Herramientas prácticas para implementar las acciones recomendadas en el código.
Implicaciones legales y estratégicas
Aunque actualmente es voluntario, el gobierno británico está considerando medidas legislativas para reforzar la ciberresiliencia, incluyendo posibles sanciones para proveedores de servicios digitales que incumplan las normas. Este movimiento refleja una tendencia global hacia una mayor responsabilidad legal de los consejos de administración en materia de ciberseguridad.
Conclusión
El Cyber Governance Code of Practice marca un hito en la integración de la ciberseguridad en la gobernanza corporativa. Para los profesionales del derecho y la gestión empresarial, representa una oportunidad para liderar en la protección de activos digitales y la continuidad del negocio en un entorno cada vez más desafiante.
A continuación, las cinco áreas clave del Cyber Governance Code of Practice junto con el número de acciones asignadas a cada una
Para más información, puedes consultar el código completo en GOV.UK.