¿Por qué medir?
En CISM, la medición es comunicación. Apoya la toma de decisiones y valida que la inversión en seguridad protege el valor del negocio.
Pro-Tip para el Examen:
"Si no puedes explicarlo en términos de negocio, la junta directiva no lo financiará."
Diferencias Críticas (KGI vs KPI vs KRI)
KPI
Performance (KPI)
Miden el proceso. Responden a: "¿Estamos haciendo el trabajo de forma eficiente?"
KGI
Goals (KGI)
Miden el resultado. Responden a: "¿Logramos el objetivo estratégico final?"
KRI
Risk (KRI)
Alertas de umbral. Responden a: "¿Qué tan cerca estamos de exceder el apetito de riesgo?"