La implantación y certificación de sistemas de gestión de la seguridad de la información (SGSI) en las empresas se consolida en España, como demuestra el último informe de la Organización Internacional de Normalización (ISO) de finales de 2008 que recoge la clasificación mundial por países en los distintos certificados más extendidos en el plano internacional. Según ISO Survey España ha entrado en el ‘top ten' mundial de certificados de Sistemas de Gestión de Seguridad de la Información (SGSI) según la norma internacional ISO/IEC 27001: 2005. En concreto, España se sitúa, con 93 certificados, en novena posición del ranking mundial, por detrás de Estados Unidos (93) y Alemania (135).
La implantación de un SGSI en la empresa, siguiendo los requisitos de una norma como la UNE-ISO 27001:2007, persigue el objetivo de dotar a las organizaciones de herramientas que les permitan asegurar uno de sus principales activos: la información. La seguridad de la información es una preocupación cada vez más presente en las empresas, dada la creciente dependencia de las mismas de sus sistemas de información. La implantación de un SGSI les permite abordar esta preocupación de manera estructurada, siguiendo las recomendaciones de estándares ampliamente reconocidos. Adicionalmente, la certificación del SGSI permite que la empresa proyecte a su entorno y mercado su preocupación por la seguridad de la información, algo que no solo afecta a la propia empresa sino también a sus clientes y colaboradores.
Las empresas que implantan un SGSI logran la sistematización y medición de resultados de sus sistemas de seguridad de la información, lo que les permite disminuir sensiblemente los riesgos de pérdida de confidencialidad, integridad o disponibilidad de sus activos de información. Las medidas de seguridad implantadas en la empresa son gestionadas, lo que asegura su puesta al día y vigilancia continua. El resultado de las mismas es verificado mediante indicadores que dan información sobre su eficacia y ponen de manifiesto las necesidades de mejora. La concienciación de los recursos humanos que interactúan con los activos de información se ve incrementada como consecuencia de las acciones formativas y la gestión de incidencias de seguridad. Por último, la implantación de un SGSI implica también el cumplimiento de aspectos legales (tales como la LOPD o la LSSI-CE) que hacen parte de los requisitos de control de la norma.