planificación de recuperación de desastres, educar y entrenar al personal, etc. El FIRST (Forum of Incident Response and Security Teams) es una asociación global de CSIRTs. Las métricas de gobernanza de ciberseguridad son esenciales para poder medir la efectividad de las acciones ejecutadas en gobernanza de ciber- seguridad. El término métrica hace referencia al resultado de la comparación de dos o mas medidas con una escala, referencia o umbral para producir un resultado que tenga sentido. Algunas métricas de gobernanza de ciberseguridad son: (i) Tecnológicas. Por ejemplo, número de sistemas con requerimien- tos de ciberseguridad, número de vulnerabilidades enumeradas y remediadas, etc. (ii) Operacionales. Por ejemplo, número de ciber- incidentes por eventos de ciberseguridad, número de ciberataques con y sin éxito, etc. (iii) Cumplimiento. Por ejemplo, número y estado de controles de requerimientos regulatorios (PCI-DSS, GDPR, SOX, etc.), número de excepciones de política implantadas, etc. (iv) Organizacionales y de rendimiento. Por ejemplo, participa- ción de empleados en formación, estado de los objetivos del plan de ciberseguridad, etc. (v) Valor de negocio. Por ejemplo, valor de datos críticos por área, cobertura del seguro de ciber-respon- sabilidad, etc. (vi) Proceso de negocios. Por ejemplo, número de procesos de negocios con datos sensibles, procesos que utilizan sistemas de fabricante contra sistemas desarrollados en casa, etc. Gobernanza y sus clases En general, la gobernanza hace referencia al conjunto de respon- sabilidades y prácticas realizadas por aquellos responsables de una empresa/ negocio/ organización/ industria (por ejemplo, la alta gestión/dirección ejecutiva de una corporación, el jefe de una organización, etc.) con el objetivo de proporcionar dirección estra- tégica, asegurar que los objetivos se realicen, determina que riesgos deben gestionarse apropiadamente y verifica que los recursos de la organización se utilicen de forma responsable. Los riesgos y recur- sos pueden estar asociados con diferentes dominios (por ejemplo, tecnología de la información (IT), tecnologías operacionales (OT), finanzas, cumplimiento legal y de regulaciones, ciberseguridad, etc.) y los diferentes dominios requieren expertos especializados para poder gestionar adecuadamente los riesgos. De este modo la gobernanza de la organización usualmente se organiza en domi- nios. La gobernanza de la ciberseguridad se refiere al componente de la gobernanza de la empresa/organización que aborda la depen- dencia de la organización frente a los ciber-riesgos procedentes del ciberespacio en presencia de atacantes y amenazas. La gober- nanza de la ciberseguridad de este modo engloba la gobernanza de la seguridad de los sistemas de información y operacionales IT/ OT; si la gobernanza de la seguridad de los sistemas de información puede identificarse con la gobernanza de la seguridad de la infor- mación depende de cómo de fino la organización interpreta-analiza la seguridad de la información. Sin embargo, mientras aspectos de la gobernanza de seguridad de la información pueden tratar información fuera del ciberespacio, el flujo de información entre los dominios 'ciber' y 'no ciber' es tan predominante que en general es preferible para la gobernanza de la ciberseguridad englobe a la gobernanza de seguridad de la información. La gobernanza corporativa representa el área para llevar a cabo los objetivos de una organización y en este sentido engloba cualquier dominio de gestión que puede conducir al éxito a largo plazo de la organización. La gobernanza corporativa puede ser aceptada como una forma de gestión que proporciona una comunicación bien organizada de arriba hacia abajo entre todos los participantes de una compañía/organización/empresa/ industria. Elementos claves de la gobernanza corporativa son las políticas y procesos globales para optimizar y utilizar los datos (gobernanza de datos). La gobernanza de la información, núcleo de CIBERSEGURIDAD 53