CERTIFICACIÓN
A través de medios digitales de información, se realizan millones de transacciones de datos, entre organizaciones y personas; este disparador nos da certeza de la importancia que debe tener para las empresas, poder garantizar la Seguridad de la Información.
La Norma ISO/IEC 27001 especifica formalmente un sistema de gestión que pretende llevar la seguridad de la información bajo un control de gestión explícito. Ser una especificación formal significa que exige requisitos específicos. Las organizaciones que afirman haber adoptado ISO/IEC 27001 pueden, por lo tanto, ser auditadas formalmente y certificadas de conformidad con la norma. La mayoría de las organizaciones tienen una serie de controles de seguridad de la información.
Sin embargo, sin un SGSI (Sistema de Gestión de Seguridad de la Información), los controles tienden a ser algo desorganizados y desarticulados, ya que se han implementado a menudo como soluciones puntuales para situaciones específicas o simplemente como una cuestión de convención. Los modelos de madurez normalmente se refieren a esta etapa como "ad hoc". Los controles de seguridad en funcionamiento generalmente abordan ciertos aspectos de TI o seguridad de datos, específicamente, dejando activos de información que no son de TI (como papeleo y conocimiento propietario) menos protegidos en general.
La planificación de la continuidad del negocio y la seguridad física, por ejemplo, pueden administrarse de manera bastante independiente de la seguridad de la información o de TI, mientras que las prácticas de recursos humanos pueden hacer poca referencia a la necesidad de definir y asignar roles y responsabilidades de seguridad de la información en toda la organización.