Wraz ze wzrostem ilości danych biznesowych wzrasta ryzyko zagrożeń. Już dzisiaj najczęstszym skutkiem incydentów bezpieczeństwa jest utrata danych, ich wyciek lub niedostępność pewnych informacji. Ryzyka te można minimalizować wdrażając system bezpieczeństwa informacji.
Nie da się jednak zbudować systemu bezpieczeństwa informacji zgodnego ze strategią biznesową i informatyczną bez opracowania strategii zarządzania bezpieczeństwem. Strategia ta powinna stanowić swoistą „mapę drogową” ułatwiającą osiągnięcie pożądanego stanu końcowego (zazwyczaj w okresie od 3 do 5 lat).
Dokument powinien zawierać analizę obecnego stanu bezpieczeństwa i zarządzania bezpieczeństwem informacji w organizacji, definicję pożądanego stanu końcowego, plan działań oraz mapę procesów wykorzystywanych do sformułowania strategii i opis wybranych inicjatyw wraz z analizą skutków biznesowych.
Zagrożeń nie da się wyeliminować tylko za pomocą środków technicznych. Strategia nie może funkcjonować w oderwaniu od kultury ochrony informacji, bez uświadomienia pracownikom wartości przetwarzanych informacji oraz wskazania, które informacje i dlaczego należy szczególnie chronić. Aby było to możliwe, przy jej tworzeniu należy uwzględnić kilka aspektów:
- Aktywność, nie reaktywność. Incydenty bezpieczeństwa występują stale, ale nie oznacza to, że cały system musi być ukierunkowany na incydenty przeszłe. Podobnie jak nie da się na takim samym poziome chronić wszystkich danych. Plan strategiczny powinien obejmować cały ekosystem bezpieczeństwa, także zagadnienia, które z bieżącej perspektywy wydają się nadmiarowe i proceduralne.
- Inteligentne podejmowanie decyzji. Strategia bezpieczeństwa informacji powinna powstać dopiero po szczegółowej analizie i zrozumieniu mocnych stron organizacji, zagrożeń, słabości oraz potencjalnych możliwości. Tylko tak możliwe jest podejmowanie racjonalnych decyzji, decyzji które są wspierane danymi.
- Jasny kierunek. Mapa drogowa strategii bezpieczeństwa informacji musi wskazać wyraźny kierunek, w który podąża organizacja. Wyznaczać musi realistyczne cele oraz wskazywać mierzalne wskaźniki realizacji tych celów.
- Dopasowanie do biznesu. Ważnym aspektem strategii bezpieczeństwa informacji jest to, że jest musi być ona dostosowana do celów i oczekiwań biznesowych. Oznacza to, że bezpieczeństwo powinno być postrzegane jako potencjał, a nie blokada.