La gobernanza es el conjunto de políticas, derechos de decisión y controles que determinan cómo se elige, aprueba y revisa la tecnología. En una organización, la gobernanza responde preguntas como quién puede autorizar un cambio en un sistema, qué comprobaciones de riesgo deben realizarse antes y cómo se hacen cumplir los requisitos de cumplimiento. Es más amplia que la gestión: la gobernanza establece las reglas que sigue la gestión.
En ciberseguridad, la gobernanza es importante porque una supervisión deficiente crea puntos ciegos. Los atacantes suelen aprovechar brechas dejadas por un control de cambios deficiente, revisiones de acceso inconsistentes o herramientas de terceros no registradas. Una gobernanza sólida ayuda a los defensores a reducir esos riesgos al exigir registros, segregación de funciones, revisiones de seguridad y auditorías periódicas. También apoya la respuesta a incidentes al definir rutas de escalamiento y responsabilidades antes de que ocurra un evento. Una buena gobernanza no detiene todos los ataques, pero hace que las decisiones de seguridad sean repetibles, medibles y más difíciles de eludir.