Em um mercado tão competitivo nos tempos atuais e certamente continuará sempre em crescimento constante, o volume das informações torna-se um bem ativo dos mais valiosos dentro das organizações. Os executivos hoje estão conscientes da importância da segurança da informação.
Política de segurança é um conjunto de diretrizes que definem formalmente as regras e os direitos dos funcionários e prestadores de serviços de uma organização, visando à proteção adequada dos ativos da informação através de técnicas de Segurança da Informação. Um dos principais objetivos das políticas de segurança é a atribuição de responsabilidade. Essas responsabilidades são trabalhadas dentro da organização de forma a catequizá-las de seus papéis no que diz respeito á TI, criando assim uma cultura de segurança e trabalhando aquele que é considerado a parte mais fraca: as pessoas.
O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido. Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de colaboradores dentro da organização. É especialmente importante que a gerência corporativa participe de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha os objetivos alcançados. É necessário que cada colaborador compreenda o negócio da organização, conheça seus valores e seu código de ética, saiba o que é importante para essa organização. Se ele não entender e não absorver isso, dificilmente protegerá as informações adequadamente.
As características citadas acima são fundamentais para que a segurança seja implantada de forma eficaz, utilizando recursos que sejam direcionados diretamente para resultados tangíveis esperados pela direção. O alinhamento estratégico também ajuda no processo de incorporar as preocupações, responsabilidades e exigências das políticas ao dia-a-dia da organização, criando assim a necessidade cultural de TI.