ridad, para los auditores, etc. Un ciber-riesgo representa la medida de la pérdida potencial o impacto cuando una amenaza explota una o varias vulnerabilidades (conocidas y de 0-day). Los impactos pue- den ser de naturaleza muy diversa: impactos económicos, impactos a la salud del ser humano, impactos de daño al medio ambiente y seres vivos, impacto a la reputación a las personas físicas o jurídi- cas, impacto a la dignidad humana, etc. Las entidades de seguros y las ciber-aseguradoras se encargan de convertir todo tipo de impactos o daños generados en una cuantificación económica. Caracterización de la gobernanza de la ciberseguridad En la gobernanza de la ciberseguridad se conjugan muy diversos elementos, componentes y factores como la gestión de accesos e identidades (se pueden utilizar herramientas como IAM), la ges- tión de incidentes de ciberseguridad (un incidente es cualquier evento que conduzca al compromiso de la ciberseguridad de una organización. El proceso de un incidente puede analizarse en varias fases: identificación del incidente, su registro incluyendo todos los detalles, su investigación y RCA/Root-Cause-Analysis, mantener a todas las partes incluida la gerencia informadas, etapas para su remedio, cerrar informe), la gestión de la ciberseguridad (con su ciclo de mejora continua Plan-Do-Check-Act), la continuidad del negocio (utilizando sitios de respaldo como hot-sites y cold-sites), la gestión de contingencias, la gestión de vulnerabilidades (con detección, valoración y eliminación o mitigación de vulnerabili- dades), la gestión de riesgos (un elemento central es el análisis de riesgos utilizando herramientas como, por ejemplo, Magerit-Pilar, Octave, etc.), la gestión de los cumplimientos (con estándares como ISO-27001, aspectos normativos, legales, GDPR, PCI-DSS, SOX, etc.), la protección de la información (utilizando criptografía, esteganografía, canales subliminares, contramedidas, etc.), los modelos de madurez (Los modelos de madurez de capacidad defi- nen cinco niveles: • Inicial o ad-hoc. Ningún proceso se ha establecido oficialmente, pero se han establecido algunas prácticas con el tiempo. • Gestionado. La organización ha establecido prácticas y usos para gestionar el proceso. • Definido. La organización formalmente ha definido su proceso y lo ha descompuesto en subprocesos gestionables. • Gestionado cuantitativamente. La organización ha definido KPPs (Key Performance Parameters) para sus procesos y subprocesos y utiliza los KPPs para soportar las decisiones de gestión. • Optimizado. La organización se encuentra comprometida para procesar mejoras, buscando optimizar el proceso o subprocesos. Algunos modelos de madurez que se pueden utilizar son: SEE- CMM (System Security Engineering Capability Maturity Model) para la ingeniería de seguridad de un sistema o conjunto de siste- mas, BSI-MM (Building Security In Maturity Model) modelo de tres capas para facilitar la planificación de iniciativas de seguridad del software, ISM3 (Information System Security Management Maturity Model) define procesos para la gestión operacional, táctica y estratégica de la seguridad de la información (http:// www.ism3.com/), GRC MM (Governance, Risk and Compiance Maturity Model) se enfoca en gestionar los riesgos de seguridad IT y llevar a cabo tareas de cumplimiento con leyes y regula- ciones, PRISMA (Program Review for Information Security Management Assistance) del NIST, define cinco niveles: polí- ticas, procedimientos, implementación, testeo e integración), las métricas, la gestión de políticas de seguridad, la gestión de la ciberforensia, etc. En la actualidad las organizaciones se encuentran con ciertas dificultades a la hora de gestionar y gobernar los puntos finales (smartphones, tablets, PCs, compo- nentes IoT, PLCs, servidores, etc.). Es necesario desarrollar guías de gobernanza y aplicarlas adecua- damente. Así mismo, es esencial que la ciberseguridad se realice desde el principio es decir desde la fase de diseño y se implante una “estrategia de defensa en profundidad”. Para empezar, entre los objetivos de ciberseguridad que se deben tener en cuenta se encuentran el uso de antivirus profesionales actualizados (AV), 51 CIBERSEGURIDAD