SEGURIDAD DE LA INFORMACIÓN Y GOBIERNO CORPORATIVO
Las conclusiones anteriores no responden solamente a lo comentado al principio, sino que tienen fuerte fundamento incluso desde hace más de diez años.
El nuevo enfoque comentado responde también a los conceptos del Gobierno Corporativo o Corporate Governance, es decir, cómo dirigir, administrar o controlar adecuadamente una empresa.

Los antecedentes en tal sentido se encuentran en la OECD (Organización para la Cooperación y Desarrollo Económico, OCDE en español) que estableció las responsabilidades del Directorio de una empresa como uno de los seis Principios de un Gobierno Corporativo.

Ya en el encabezamiento de dicho Principio se dice que el marco de trabajo del Gobierno Corporativo debiera asegurar el monitoreo de las funciones de la gerencia..
La mención del monitoreo por parte del directorio indica una separación entre gobierno y gestión, donde el gobierno de un organización es función del directorio y la gestión, de la gerencia ejecutiva.

Por su parte, el concepto de seguridad de la información ha venido evolucionando con el tiempo. Así fue como la Seguridad de la Información fue pasando de lo técnico a la gestión y de aquí a la institucionalización bajo normas universales, para actualmente fortalecer la toma de conciencia que la seguridad es parte de los negocios, puesto que la información es un activo corporativo crítico para mantener sustentables las operaciones, entroncándose así en el paradigma del Corporate Governance

De esta manera, el aseguramiento de la información debe responder también a un esquema de gobierno, Gobierno de la Seguridad de la Información, tema sobre el que volveremos más adelante.

Por otra parte, el mismo Principio mencionado establece que el Directorio tiene que cumplir con ciertas funciones claves, entre ellas la de revisar y conducir la “política de riesgos”, y determinar los “tipos y nivel de riesgos” que una empresa está dispuesta a aceptar en el cumplimiento de sus objetivos.

El tema de la política de riesgos corporativos se puede ampliar aplicando cierta forma de clasificación o taxonomía, como indican las Guías de Seguridad también de la OECD.
Estas Guías también establecen sus propios Principios, dos de los cuales importan especialmente.

Uno se refiere a la Concientización donde aparecen las personas como individuos y como grupos, es decir la gente como ya mencionáramos antes.

El otro Principio considera la Valuación de riesgos, en base a amenazas y vulnerabilidades, y establece que los factores que determinan los riesgos pueden ser de carácter tecnológico, físico y humano.

Todo este conjunto señala en la práctica cuatro tipos de riesgos, los tradicionales riesgos técnicos de sistemas IT, los riesgos organizacionales, los riesgos operacionales y los riesgos de carácter físico, como producto de las correspondientes vulnerabilidades.

Y, por cierto, a diferencia de las vulnerabilidades técnicas propias de las TIC que más bien responden a un esquema blanco-negro o a lo sumo de tres niveles, las vulnerabilidades organizacionales y operacionales se extienden en una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivas de las personas, la cultura empresarial, la forma de comunicación, la resistencia al cambio, etc

NORMAS BASICAS DE SEGURIDAD DE LA INFORMACIÓN
En la década pasada se han venido desarrollando varias normas relacionadas con la seguridad de la información siguiendo diferentes enfoques que hacen al conjunto, y ya en los últimos años la visión para el usuario puede verse como mucho más integral
De todas las normas publicadas de seguridad de la información dos de ellas constituyen las bases de todo el conjunto.

Son la ISO 27002 (anteriormente ISO 17799 y ésta a su vez derivada de la BS 7799-1) y la ISO 27001 (que evolucionó a partir de la BS 7799-2).
Las versiones 2005 de ambas normas fueron actualizadas a fines de 2013.
En forma similar a otras normas (como la de Calidad, Ambiental, etc.), se puede certificar el correspondiente Sistema de Gestión de Seguridad de la Información, SGSI.

Otras dos normas que expresan recomendaciones pueden usarse en el proceso de implementación de medidas de seguridad de la información como complemento de las dos normas anteriores. Se trata de las ISO 27005 de Riesgos y la ISO 27004 de Métricas.