A necessidade de implementação de medidas de Segurança da Informação tem crescido de maneira expressiva nos últimos anos.
O valor da informação se tornou mais expressivo para as empresas, que muitas vezes tem seu negócio e seu diferencial competitivo baseado unicamente em informações.
Se não bastasse o valor das informações para suas detentoras, há ainda uma preocupação crescente dos governos e órgãos reguladores quanto à vulnerabilidade de certas informações.
Escândalos recentes provenientes de alterações de informações contábeis de empresas forçaram a criação de leis e normas que trazem às empresas motivações adicionais para o tratamento do problema de segurança dessas informações.
Além disso, incidentes que levaram ao vazamento de informações pessoais de milhões de consumidores também trouxeram preocupações quanto à proteção deste tipo de informação.
O arsenal completo de conhecimento e ferramentas necessárias para a implementação de medidas de segurança raramente está inteiramente presente nas empresas.
Por conta disso, é comum a contratação de terceiros para auxiliar no processo, seja para resolver um problema pontual, terceirizar um processo inteiro ou até mesmo toda a estratégia de segurança da empresa.
Com isso, criou-se um mercado de serviços especializados na área, com produtos que vão desde a simples consultoria à operação de estruturas como Security Operations Centers ou mesmo todo o Security Office.
Como houve uma evolução das preocupações e da maneira como as empresas tratam o assunto, houve também uma evolução nos serviços prestados. Para medir tais serviços deve-se implantar medidas para fornecer informações quantificáveis, para fins de comparação, aplicar fórmulas para análise, e monitorar as mudanças utilizando os mesmos pontos de referência.
Os principais benefícios serão: aumentar a responsabilidade para o desempenho, melhorar a eficácia das atividades de segurança, conformidade com as leis, regras e regulamentações, fornecendo insumos quantificáveis para decisões de alocação de segurança da informação.
As medidas de segurança podem aumentar a segurança das informações da CA, ajudando a identificar os controles de segurança específicos.
A maturidade de uma organização pode ser obtida, através de políticas de segurança que tornam-se documentadas, detalhadas, e melhor compreendidas por toda organização, gerando processos que usam programas específicos e padronizados que produzem maior quantidade de medição das atividades de desempenho.
Os resultados de tais atividades, detém informações que podem ser quantificadas e utilizadas para medição de desempenho, no entanto, uma vez que os recursos serão limitados e a maioria deverão ser aplicados na correção de deficiências, conseguindo mensurar a atividade envolvida.
O método de medição que é utilizado deve ser reprodutível, e deve atingir o mesmo resultado quando realizado de forma independente por diferentes avaliadores competentes.