Desde el punto de vista de las empresas, garantizar la seguridad de la información es un "activador de negocios". Se introducen avances que generan nuevas formas de relación entre compañías y de estas con sus clientes y proveedores, aportando nuevos modelos de negocios. Todos estos avances, que mejoran las prestaciones y los servicios que la tecnología puede ofrecer, vienen acompañados de nuevos riesgos que las organizaciones deben gestionar.

 En una primera fase de la evolución, los riesgos fueron colándose en cada entidad a través de puertas traseras (sin ser conocidos), pero fueron creciendo en concordancia con los avances de la tecnología. Nace por tanto la necesidad de identificar y aplicar controles para mitigar razonablemente dichos riesgos (seguridad como producto). Aparecen guías y documentos de control de riesgos, que van evolucionando y orientándose hacia establecer criterios para realizar una adecuada gestión de las Tecnologías y Sistemas de Información. Se introduce la seguridad como un proceso (no como producto) y como tal aparecen perspectivas orientadas a la gestión.

Se evoluciona desde la implementación de objetivos de control enfocados a la seguridad, eficiencia y eficacia de procesos individuales a gestionar de forma adecuada todos los procesos de TI. Para asegurar el exito de la seguridad de la información se busca una integración de la gestión de la misma, con el resto de medidas de gestión de la organización. Es decir, la implantación de un sistema de gestión de la seguridad y la información totalmente integrado con otros sistemas de gestión que tenga implantados la empresa y con sus procesos de negocio (tras el correspondiente aumento de madurez de la organización).

Lo anterior hace surgir las primeras normas encaminadas a la Gestión de la seguridad de la Información. En el año 2000 aparece la primera versión de la norma ISO/IEC 17799 "Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la seguridad de la información". Coexisten en este periodo la norma inglesa BS 7799-2 y la norma española UNE 71502 "Especificaciones de los Sistemas de Gestión de la Seguridad de la Información" del año 2004. Tras su publicación se generaliza el uso de las siglas SGSI (Sistemas Gestión Seguridad Información). Estas normas tienen como punto de partida común el ciclo de gestion (PDCA). Posteriormente el comité internacional de normalización desarrolla el MODELO 27000, que enmarca las normas aplicables a la gestión de los sistemas de seguridad de la información, hasta que se publica la Norma ISO/IEC 27001, referente internacional para los SGSI.

 Desde el punto de vista de las empresas, garantizar la seguridad de la información es un "activador de negocios". Se introducen avances que generan nuevas formas de relación entre compañías y de estas con sus clientes y proveedores, aportando nuevos modelos de negocios. Todos estos avances, que mejoran las prestaciones y los servicios que la tecnología puede ofrecer, vienen acompañados de nuevos riesgos que las organizaciones deben gestionar.

 En una primera fase de la evolución, los riesgos fueron colándose en cada entidad a través de puertas traseras (sin ser conocidos), pero fueron creciendo en concordancia con los avances de la tecnología. Nace por tanto la necesidad de identificar y aplicar controles para mitigar razonablemente dichos riesgos (seguridad como producto). Aparecen guías y documentos de control de riesgos, que van evolucionando y orientándose hacia establecer criterios para realizar una adecuada gestión de las Tecnologías y Sistemas de Información. Se introduce la seguridad como un proceso (no como producto) y como tal aparecen perspectivas orientadas a la gestión.

Se evoluciona desde la implementación de objetivos de control enfocados a la seguridad, eficiencia y eficacia de procesos individuales a gestionar de forma adecuada todos los procesos de TI. Para asegurar el exito de la seguridad de la información se busca una integración de la gestión de la misma, con el resto de medidas de gestión de la organización. Es decir, la implantación de un sistema de gestión de la seguridad y la información totalmente integrado con otros sistemas de gestión que tenga implantados la empresa y con sus procesos de negocio (tras el correspondiente aumento de madurez de la organización).

Lo anterior hace surgir las primeras normas encaminadas a la Gestión de la seguridad de la Información. En el año 2000 aparece la primera versión de la norma ISO/IEC 17799 "Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la seguridad de la información". Coexisten en este periodo la norma inglesa BS 7799-2 y la norma española UNE 71502 "Especificaciones de los Sistemas de Gestión de la Seguridad de la Información" del año 2004. Tras su publicación se generaliza el uso de las siglas SGSI (Sistemas Gestión Seguridad Información). Estas normas tienen como punto de partida común el ciclo de gestion (PDCA). Posteriormente el comité internacional de normalización desarrolla el MODELO 27000, que enmarca las normas aplicables a la gestión de los sistemas de seguridad de la información, hasta que se publica la Norma ISO/IEC 27001, referente internacional para los SGSI.