El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat al seu portal l'informe “ Aproximación al marc de governança de la ciberseguretat ”. En este documento se abordan las ciberamenazas, salvaguardas, el marco de gobernanza de la ciberseguridad, su estructura organizativa y cómo abordar la gestión de crisis.
Al llarg de 47 pàgines, es detallen els elements clau per establir el marc de governança de la ciberseguretat. cal recordar que la gestió de la ciberseguretat requereix d'un marc de governança en el qual es designin als organismes o unitats responsables d'aquesta gestió i es defineixin clarament les seves competències en aquest àmbit, que hauran de ser conegudes per tota l'organització.
En ell es proposa un model bàsic de referència per a la governança segons les següents premisses: a) identifica una estructura organitzativa de les unitats que presten els diferents serveis de ciberseguretat; b) integra els processos de gestió per a la governança de la ciberseguretat, amb especial èmfasi en els serveis de prevenció proactiva i c) identifica els serveis proveïts per la cadena de subministrament TIC, així com els requisits de compliment exigibles als subministradors.
En el marc de governança, el comitè de seguretat TIC es constitueix com a òrgan especialitzat i permanent i està integrat per persones de l'organització amb responsabilitat en la presa de decisions. Dins de l'estructura de seguretat, es constituirà una unitat denominada Oficina de governança i compliment normatiu de la seguretat TIC, les competències de la qual inclouran la coordinació dels diferents actors de seguretat dels òrgans concernits i el Centre d'Operacions de Seguretat. També pot ser convenient la constitució d'un Òrgan d'Auditoria Tècnica (OAT) independent, per a la realització d'auditories de conformitat dels sistemes.
Finalment, el capítol 6 ofereix una anàlisi detallada de la gestió de ciberincidentes, amb la creació del comitè de crisi, la seva activació, funcions, composició, dinàmica de les reunions, així com un apartat dedicat a les bones pràctiques en la gestió de crisi.