Barrapunto

Ya se ha hablado antes de esto en /. Controles son salvaguardas o medidas de seguridad, como prefieras, pero no mediciones. Los indicadores son mediciones (los resultados de las métricas definidas).

Sin ánimo de ofender a nadie, voy a tratar de aclarar estos conceptos, no según mi opinión sino a través de lo que dicen las normas y estándares:

Un control: no es una medición o una salvaguarda o una medida de seguridad. Según la Norma ISO 27001, es mucho más que eso, y de ello propone concretamente 133 controles, que van desde verificar la existencia de un documento, hasta monitorizar redes, generar logs, etc.
Una Salvaguarda: Según MAGERIT, es una medida que se toma, luego de la identificación de un riesgo, para minimizarlo.
Los indicadores NO SON MEDICIONES. Según ISO 27004, los indicadores son combinación de "Mediciones" de "Atributos" que poseen los objetos a medir (Que generalmente son los controles). Un indicador puede agrupar a varias mediciones.
Un atributo, es el valor objetivo (en lo posible) que se debería medir en un Control.
Una medición, es la "Acción de medir" un determinado atributo.
Una Métrica es uno de los valores, dentro de una escala o cuantificación de valores.

Todo esto puede sonar a "rollo", pero es lo que dicen las normas y es muy bueno ponerse de acuerdo en nusar un lenguaje común a la hora de medir, sino se termina midiendo cosas diferentes. Así que esto es lo que dice n los textos correspondientes, pueden o no tener razón, son o no discutibles, pero no es una opinión personal sino lo que se está tratando de estandarizar, y no lo que se le ocurre a alguien que escribe en este foro.
un afectuoso saludo a todos y disculpen por haberme enrollado tanto, pero estas opiniones y debates sobre "métricas", "controles", etc, llevan ya bastante tiempo y no merecen discusión ni pérdidas de tiempo, simplemente es lo que dicen las normas y nada más.