O CCN-CERT, do Centro Criptolóxico Nacional (CCN), publicou no seu portal o informe “ Aproximación ao marco de gobernación da ciberseguridade
”. Neste documento abórdanse as ciberamenazas, salvagardas, o marco de gobernación da ciberseguridade, a súa estrutura organizativa e como abordar a xestión de crise.
Ao longo de 47 páxinas, detállanse os elementos crave para establecer o marco de gobernación da ciberseguridade. Cabe lembrar que a xestión da ciberseguridade require dun marco de gobernación no que se designen aos organismos ou unidades responsables da este xestión e defínanse claramente as súas competencias neste ámbito, que deberán ser coñecidas por toda a organización.
Nel proponse un modelo básico de referencia para a gobernación segundo as seguintes premisas: a) identifica unha estrutura organizativa das unidades que prestan os diferentes servizos de ciberseguridade; b) integra os procesos de xestión para a gobernación da ciberseguridade, con especial énfase nos servizos de prevención proactiva e c) identifica os servizos provistos pola cadea de subministración TIC, así como os requisitos de cumprimento esixibles aos subministradores.
No marco de gobernación, o comité de seguridade TIC constitúese como órgano especializado e permanente e está integrado por persoas da organización con responsabilidade na toma de decisións. Dentro da estrutura de seguridade, constituirase unha unidade denominada Oficina de gobernación e cumprimento normativo da seguridade TIC, cuxas competencias incluirán a coordinación dos diferentes actores de seguridade dos órganos concernidos e o Centro de Operacións de Seguridade. Tamén pode ser conveniente a constitución de un Órgano de Auditoría Técnica (OAT) independente, para a realización de auditorías de conformidade dos sistemas.
Por último, o capítulo 6 ofrece unha análise detallada da xestión de ciberincidentes, coa creación do comité de crise, a súa activación, funcións, composición, dinámica das reunións, así como un apartado dedicado ás boas prácticas na xestión de crise.
