El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat en el seu portal l'informe “ Aproximación al marc de governança de la ciberseguretat ”. En este document s'aborden les ciberamenazas, salvaguardes, el marc de governança de la ciberseguretat, la seua estructura organitzativa i com abordar la gestió de crisi.
Al llarg de 47 pàgines, es detallen els elements clau per a establir el marc de governança de la ciberseguretat. cal recordar que la gestió de la ciberseguretat requerix d'un marc de governança en el qual es designen als organismes o unitats responsables d'aquesta gestió i es definisquen clarament les seues competències en este àmbit, que hauran de ser conegudes per tota l'organització.
En ell es proposa un model bàsic de referència per a la governança segons les següents premisses: a) identifica una estructura organitzativa de les unitats que presten els diferents servicis de ciberseguretat; b) integra els processos de gestió per a la governança de la ciberseguretat, amb especial èmfasi en els servicis de prevenció proactiva i c) identifica els servicis proveïts per la cadena de subministrament TIC, així com els requisits de compliment exigibles als subministradors.
En el marc de governança, el comité de seguretat TIC es constituïx com a òrgan especialitzat i permanent i està integrat per persones de l'organització amb responsabilitat en la presa de decisions. Dins de l'estructura de seguretat, es constituirà una unitat denominada Oficina de governança i compliment normatiu de la seguretat TIC, les competències de la qual inclouran la coordinació dels diferents actors de seguretat dels òrgans concernits i el Centre d'Operacions de Seguretat. També pot ser convenient la constitució d'un Òrgan d'Auditoria Tècnica (OAT) independent, per a la realització d'auditories de conformitat dels sistemes.
Finalment, el capítol 6 oferix una anàlisi detallada de la gestió de ciberincidentes, amb la creació del comité de crisi, la seua activació, funcions, composició, dinàmica de les reunions, així com un apartat dedicat a les bones pràctiques en la gestió de crisi.