¿Está usted implementando un Plan de Seguridad adecuado para su Empresa?
Según Kaplan y Norton, no se puede gestionar lo que no se puede medir y no se puede medir lo que no se puede describir; si trasladamos este enunciado a la Seguridad quedaría algo así como: "no se puede gestionar la Seguridad de nuestra empresa si implementamos controles de Seguridad que no pueden ser medibles". Las buenas prácticas de la industria y regulaciones internacionalmente conocidas; como las leyes de Glinger-Cohen Act, the Government Performance and Results Act (GPRA), the Government Paperwork Elimination Act (GPEA) y the Federal Information Security Management Act (FISMA), requieren medir el desempeño de la seguridad de la información. Para implementar estas mediciones podemos recurrir a varias guías de buenas prácticas disponibles, a modo de referencia menciono algunas: “Guide to Security Metrics” de SANS Institute, “Developing Metrics for Effective Information Security Governance” de John P. Pironti, “Security Metrics” de Andrew Jaquith, “Performance Measurement G