La informació és actualment un dels principals actius de les empreses. Cal protegir-la d'una manera intel·ligent preservant la seva seguretat en sentit ampli:
- Confidencialitat és garantir que la informació estigui disponible exclusivament per a persones autoritzades.
- Integritat és garantir que la informació sigui completa, precisa i protegida contra canvis no autoritzats.
- Disponibilitat és garantir que la informació estigui disponible i es pugui utilitzar quan es necessiti.
- Compliment és garantir que la informació i els seus tractaments s'adeqüin a la legislació vigent.
La seguretat de la informació a l'empresa no se situa tan sols en el maquinari, programari i configuracions tècniques, fonamentalment consisteix en l'anàlisi corporatiu de la mateixa, el seu impacte en les guidelines i en els processos de negoci, la qual cosa comporta una dissecció i categoritzant de la informació d'acord amb criteris empresarials.
Aquesta anàlisi, amb indicació dels possibles riscos, contribuirà a valorar i decidir les mesures a aplicar per a la prevenció acceptable dels mateixos ia costos acceptables.
En aquesta línia es pronuncia també la regulació vigent en matèria de protecció de dades, en considerar que les mesures a aplicar han de basar-se en tres àmbits, tots ells necessaris:
- Àmbit organitzatiu.- fonamental per definir i mantenir un Sistema de Gestió de la Seguretat de la Informació (SGSI). Cal la gestió i actualització del sistema globalment perquè el mateix sigui eficaç i complet amb el pas del temps.
- Àmbit tècnic.- implementació dels controls que sorgeixen com a conseqüència de desenvolupar l'àmbit organitzatiu.
- L'àmbit jurídic sorgeix davant la necessària observança i compliment legal. Cada vegada apareix més regulació que afecta al Dret TIC. I a la "responsabilitat corporativa" per "omissió de les mesures de control".
Independentment de l'obtenció de la certificació final, s'obtenen els beneficis directes per l'establiment de l'abast i objectius definits.