No caso brasileiro estamos longe, pois nunca seguimos as normas que nós mesmos definimos, nossos domínios (brasileiros), muitos não seguem os critérios existentes. Minha sugestão é partir para desenvolver uma cultura de segurança da informação com o uso de certificações como ferramentas e não como grife. Não adianta termos certificados se não sabemos usar e cuidar deles.