Hoy en día, a medida que el panorama de las amenazas cibernéticas está evolucionando y los activos digitales se están proliferando y volviéndose cada vez más interconectados con Internet y dispositivos heterogéneos, es fundamental poder obtener una medida sensata de la seguridad de dispositivos, redes y sistemas. Los sistemas ciberfísicos industriales (ICPSs), en particular, pueden estar expuestos a altos riesgos operativos que conllevan daños a los ingresos, activos e incluso a las personas. Una forma de superar la pregunta abierta de medir la seguridad es con el uso de métricas de seguridad. Con métricas es posible confiar en indicadores probados que comparan sistemas, identifican vulnerabilidades y muestran datos prácticos para evaluar el riesgo. Sin embargo, las métricas de seguridad a menudo se proponen con contextos específicos en mente, y un conjunto de ellas específicamente diseñado para ICPSs no está disponible explícitamente en la literatura. Por esta razón, en este trabajo, analizamos el estado actual de la técnica en la selección de métricas de seguridad y proponemos una metodología sistemática para recopilar, filtrar y validar métricas de seguridad. Luego, aplicamos el procedimiento al dominio de ICPS, recopilando casi 300 métricas de la literatura, analizando el dominio para identificar las propiedades útiles para filtrar las métricas y aplicando un marco de validación para evaluar la validez de las métricas filtradas, obteniendo un conjunto final capaz de medir la seguridad de los ICPS desde diferentes perspectivas.