La cultura organizacional rige el desempeño de las personas y de las empresas. Quizás una de las personas que más ha escrito sobre el tema es el Dr. Edgard Schein, profesor del Sloan School del M.I.T. El define la cultura organizacional como “conjunto de suposiciones básicas que son compartidas, y que los grupos han aprendido en la manera que han resuelto sus problemas de adaptación externa e integración interna, la cual ha funcionado correctamente para ser considerada válida y por lo tanto se les enseña a los nuevos miembros, como la manera correcta de percibir, pensar y sentir en relación a esos problemas”.

La manera que la empresa reacciona a los problemas de seguridad de información y la forma que las personas actúan frente a la problemática de la seguridad de información, esta regida por la cultura organizacional de la empresa.
Es normal en las empresas no prestarle atención a la confidencialidad de la información. Es fácil averiguar la información confidencial de una empresa. Simplemente bastaría con averiguar donde almuerzan los ejecutivos. Uno va a ese restaurante, se sienta cerca de ellos y obtenemos todos los secretos de la empresa. La cultura organizacional no contempla muchas veces en las empresas los conceptos de confidencialidad, integridad y disponibilidad de la información.
La cultura organizacional es bien difícil cambiarla. Lo que se puede hacer es enrumbarla para que haga hincapié en ciertos supuestos, creencias y valores. El ISO/IEC 27001:2005 al implantarlo en una organización, justamente busca enrumbar la cultura organizacional para que se maneje adecuadamente un sistema de gestión de seguridad de información. La política de seguridad de información, las revisiones gerenciales, las sanciones disciplinarias, los métodos para detectar eventos de seguridad y evitar que se conviertan en incidentes de seguridad, son algunos requerimientos del estándar ISO/IEC27001:2005 que contribuyen a enrumbar la cultura organizacional para que contemple la confidencialidad, integridad y disponibilidad de la información en la empresa.