INVESTIGACIÓN tario de dichos activos (tanto legales como no autorizados que se exploran en todos los dispositivos incluso en los de los empleados como APPs, etc.). (b) Propiedad de los activos. Se trata de asignar un propietario de activo para los activos man- tenidos en el inventario. (ii) Clasificación de la información. Se trata de clasificar la información y activos en términos de valor, criticidad y sensibilidad. (iii) Gestión de medios remo- vibles. Se trata de implantar procedimientos para gestionar el uso de medios removibles (pendrives USB, etc.) desde el punto de vista de la existencia o no de malware. 8. Cumplimientos. Se trata de revisar la seguridad de la información. Se pueden identificar dos casos: (i) Revisión independiente de seguridad de la información. Se revisa el enfoque para gestionar la seguridad de la información a inter- valos planificados. Se pueden utilizar servicios y herramientas como valoración de la madurez de la ciberseguridad. (ii) Revisión del cumplimiento con las políticas y estándares regu- latorios como RGPD, HIPAA, SOX, PCI-DSS, CIPA (Children's Internet Protection Act), etc. Se pueden utilizar herramien- tas como metasploit, servicios de test de penetración. En el estándar ISO 27002 se pueden identificar los siguientes catorce capítulos: políticas de seguridad de la información, orga- nización de la seguridad de la información, seguridad relativa a los recursos humanos, gestión de activos, control de acceso, cripto- grafía, seguridad física y del entorno, seguridad de las operaciones, seguridad de las comunicaciones, adquisiciones y mantenimiento de los sistemas de información, relación con proveedores, gestión de incidentes de seguridad de la información, aspectos de seguri- dad para la gestión de la continuidad y cumplimiento. Códigos-prácticas-medidas-controles en el ámbito de la gobernanza de la ciberseguridad para ciberseguridad cognitiva intensiva La gobernanza de la ciberseguridad engloba las estrategias, aspec- tos organizativos, gestión de riesgos, marco de gobierno y de control, cultura de ciberseguridad (concienciación, sensibilización, formación, adiestramiento pedagógico, etc.), cumplimientos (nor- mas, estándares de ciberseguridad, leyes, reglamentos, regulaciones, códigos y protocolos de buenas prácticas, etc.), nivel de reporting, inteligencia de vulnerabilidades, inteligencia de ciber-amenazas, gestión de contingencias y continuidad de negocios, etc... Las orga- nizaciones deben establecer e implantar un marco de gobernanza en ciberseguridad que soporte la toma y escalado de decisiones informada dentro de la organización para identificar y gestionar los riesgos de ciberseguridad. Se utilizan herramientas con interfaz de usuario GUI/CLI con dashboard, cuadros de mando y pantallas de realidad aumentada. El marco debe incluir políticas de gestión de riesgos, procesos y estructuras acopladas con los controles relevan- tes construidos para la naturaleza de los riesgos en ciberseguridad a la que la organización se enfrenta y los recursos que la organización tiene disponible. Estas prácticas efectivas son: 1. Definir un marco de gobernanza para soportar la toma de decisiones en base a los riesgos que se presenten. 2. Asegurar la gestión madura activa y apropiada a la orga- nización, compromiso a nivel de la junta directiva de las cuestiones de ciberseguridad. 3. Utilizar métricas y umbrales para informar a los procesos de gobernanza. 4. Dedicar recursos para conseguir la postura de riesgo deseada. 59 5. Realizar la valoración de riesgos de ciberseguridad estática y dinámica. Una práctica efectiva para las organizaciones es establecer y mantener una gobernanza para la gestión de los riesgos de ciberse- guridad, así como los controles relacionados apropiados al tamaño de la organización y a la naturaleza de su exposición a los riesgos en ciberseguridad. El marco en gobernanza de ciberseguridad debe articular los roles y responsabilidades de las unidades de la organi- zación y de los individuos dentro de dichas unidades. La gobernanza en ciberseguridad se refiere a establecer políticas, procedimientos y procesos para gestionar y monitorizar los requisitos operacionales, los riesgos, el entorno, las cuestiones de cumplimiento legales y de regulación de una forma que se entienda dentro de la organización y que informe a su gestión (implantación de dichas medidas de gober- nanza) de los riesgos en ciberseguridad. El marco de gobernanza debe permitir a las organizaciones ser conscientes de los riesgos de ciberseguridad relevantes, estimar su severidad y decidir cómo gestionar cada riesgo (es decir acepta- asumir si el riesgo es menor que el umbral establecido por dirección, mitigar utilizando contramedidas-salvaguardas adecuadas, transfe- rir bien externalizando los servicios de protección de ciberseguridad a empresas especializadas con SOCs o bien contratar a una empresa de seguros para ciberseguridad o evitar por ejemplo separando el servidor de producción del servidor de ensayos). La mayor parte del tiempo de las organizaciones se gastará en mitigar riesgos que incluye la identificación, selección, implementación, monitorización del rendimiento y actualización de los controles que las organizacio- nes utilizan en sus planes y programas de ciberseguridad. El realizar estas tareas de forma efectiva presenta un desafío de gobernanza significativo. Las organizaciones necesitan incorporar múltiples vis- tas (desde negocios, tecnologías de la información, operacionales, gestión del riesgo y auditoría interna y externa) en conjunción con la gestión madura y visto bueno de la junta directiva para implementar un plan-programa de ciberseguridad efectivo. Dependiendo de las organizaciones la unidad de negocios o tecnología de información puede ser la responsable de la selección de la primera línea, de la implantación y monitorización de los controles de ciberseguridad. Por otra parte, la función de gestión de riesgos proporciona estándares y objetivos que monitorizan de la implantación de dichos controles. Finalmente, una función independiente apro-