CIBERSEGURIDAD 56 • Entender la cultura a nivel de individuo y de la organización, así como los patrones de comportamiento de los usuarios finales (el valor de negocio y los riesgos de negocio relacionados con los aspectos de ciberseguridad se ven influenciados por la cultura del individuo y de la organización. En la gobernanza y gestión de la ciberseguridad se deben tener en cuenta estos factores y se deben incorporar a las medidas de seguridad operacionales, tácticas y estratégicas). • Conocer el impacto potencial de los ciberdelitos y ciberataques (la ciberseguridad se debe ver desde el punto de vista del daño potencial y los impactos de los ciberataques se deben estimar para poder gestionar adecuadamente la ciberseguridad y pueda tolerar dichos niveles de riesgo). • Establecer gobernanza de ciberseguridad (la ciberseguridad se transforma con los objetivos de la organización y sus miembros, están sujetos a reglas de gobernanza claras que proporcionen un rumbo de dirección y límites razonables, por ejemplo, adop- tar y mejorar el marco de la gobernanza organizacional para la ciberseguridad). • Saber los objetivos del aseguramiento de la ciberseguridad (la ciberseguridad abarca muchos aspectos, algunos aspectos de la ciberseguridad pueden estar fuera de la organización y deben considerarse las cuestiones de aseguramiento y los riesgos asociados), establecer claramente el estado del negocio para la ciberseguridad y el riesgo deseado para la organización (para pro- porcionar la ciberseguridad adecuada se deben tener en cuenta consideraciones de costo-beneficio, cultura de la organización, valores de ciberseguridad y el caso de negocios se debe definir y conocerlo todos los niveles de gestión). Políticas de seguridad. Proceso-Guía-Estándar Una política de seguridad es un documento formal que establece las reglas, procedimientos y responsabilidades asociadas con la pro- tección de los sistemas de información, el hardware, el firmware y el software utilizado para ejecutarlos y los datos que contiene. Esta política debería ser escrita por un gestor competente que tenga responsabilidad estratégica para la organización. Las políticas de seguridad son el fundamento de la infraestructura de seguridad. Así mismo, una política de seguridad es un documento o conjunto de documentos que describe los controles de seguridad que se implantarán en la organización/empresa/compañía/industria a alto nivel. Sin ellos no se puede proteger una organización de posi- bles pleitos, pérdida de ingresos, publicidad maliciosa y ataques de ciberseguridad. Las políticas de seguridad no son específicas de la tecnología y posibilitan a una organización actuar sobre diferentes áreas: • Proteger la información propietaria confidencial de robos, uso indebido, revelación no autorizada o modificación. • Reducir o eliminar la responsabilidad legal a empleados y terce- ras partes. • Prevenir el derroche de los recursos de computación de la organización. Una política de seguridad debería revisarse al menos una vez al año. Cualquier cambio realizado debería documentarse en la histo- ria de revisiones y versiones del documento. En caso de que exista cualquier cambio importante necesita ser notificado también a los usuarios. La política de seguridad sólo es tan buena como las decla- raciones de política que contiene. Dichas declaraciones deben