Barrapunto

Sin ánimo de ofender a nadie, voy a tratar de aclarar estos conceptos, no según mi opinión sino a través de lo que dicen las normas y estándares:

Un control: no es una medición o una salvaguarda o una medida de seguridad. Según la Norma ISO 27001, es mucho más que eso, y de ello propone concretamente 133 controles, que van desde verificar la existencia de un documento, hasta monitorizar redes, generar logs, etc.
Una Salvaguarda: Según MAGERIT, es una medida que se toma, luego de la identificación de un riesgo, para minimizarlo.
Los indicadores NO SON MEDICIONES. Según ISO 27004, los indicadores son combinación de "Mediciones" de "Atributos" que poseen los objetos a medir (Que generalmente son los controles). Un indicador puede agrupar a varias mediciones.
Un atributo, es el valor objetivo (en lo posible) que se debería medir en un Control.
Una medición, es la "Acción de medir" un determinado atributo.
Una Métrica es uno de los valores, dentro de una escala o cuantificación de valores.

Todo esto puede sonar a "rollo", pero es lo que dicen las normas y es muy bueno ponerse de acuerdo en nusar un lenguaje común a la hora de medir, sino se termina midiendo cosas diferentes. Así que esto es lo que dice n los textos correspondientes, pueden o no tener razón, son o no discutibles, pero no es una opinión personal sino lo que se está tratando de estandarizar, y no lo que se le ocurre a alguien que escribe en este foro.
un afectuoso saludo a todos y disculpen por haberme enrollado tanto, pero estas opiniones y debates sobre "métricas", "controles", etc, llevan ya bastante tiempo y no merecen discusión ni pérdidas de tiempo, simplemente es lo que dicen las normas y nada más.

según la Norma ISO 27001, es mucho más que eso, y de ello propone concretamente 133 controles, que van desde verificar la existencia de un documento, hasta monitorizar redes, generar logs, etc.

Que, precisamente, son TODAS medidas de seguridad, es decir, salvaguardas (ya sean técnicas u organizativas).En 27001, dicho directamente por el primer auditor de 27001 que ha tenido AENOR, un control es una salvaguarda. No hay mayor discusión al respecto y, si lees la norma ISO 17799, verás que todo lo que se describen son salvaguardas.

Una Salvaguarda: Según MAGERIT, es una medida que se toma, luego de la identificación de un riesgo, para minimizarlo.

MAGERIT no es ISO 27001, y confundir ambos es peligroso. No es imprescindible utilizar MAGERIT para realizar la implantación de un SGSI: es necesario realizar un análisis de riesgos, pero la metodología a utilizar no viene impuesta en la norma 27001.

MAGERIT es una metodología, por cierto bastante mala en mi opinión (no tan mala como el software EAR o PILAR que la implementa, pero casi) que se inventó el Mañas para el MAP (basándose en otras normas y estudios, principalmente la norma ISO/IEC TR 13335) y que luego explotó en forma de una lamentable herramienta software (EAR/PILAR). MAGERIT no tiene por qué concordar con 27001 (de hecho, si la estás usando para implantar un SGSI te darás cuenta de que es un infierno), por lo que no vale aplicar su definición de salvaguarda al uso de 27001.

En cuanto a que los indicadores no son mediciones, tienes razón, pueden ser combinaciones de mediciones. Pero lo que quería resaltar en mi comentario anterior (el tema principal, de hecho) era el hecho de que los controles no son las mediciones, sino que es a través de los indicadores como se mide la efectividad de los mismos.