Usualmente en las organizaciones se tienen implantados una serie de controles que supuestamente debieran mitigar el riesgo. Estos controles se mantienen en la empresa y muchas veces se convierten en parte de los repertorios de estrategias institucionalizadas para el tratamiento del riesgo.

En muchas de las organizaciones las decisiones pertinentes a la problemática de seguridad de la información, no basan sus decisiones en datos cuantificables, ni confiables. Pareciera que las decisiones están basadas en las experiencias de la gerencia. Es fundamental que la empresa pueda implantar indicadores para obtener información sobre la efectividad de los controles instaurados y así se pueda con la debida antelación tomar las acciones correctivas de lugar. El ISO 27001:2005 exige el uso de indicadores.