A pesar del esfuerzo que exigen los requisitos de ciberseguridad específicos y normativos, las empresas deben preguntarse quién podría ser el atacante, cuáles son sus objetivos y cómo podría proceder. Las respuestas permiten adoptar medidas de defensa más eficaces.