O que se pode observar é que em recém-criadas ou pequenas empresas, a tendência é ter regras de seguranças mais brandas ou até mesmo a inexistência delas. Nota-se que normalmente há uso de recursos na empresa como dispositivos pessoais, compartilhamento das informações da nuvem de forma imprópria e administração em comum de e-mails pessoais e corporativos, que trazem riscos e implicam com ações de políticas de segurança.
Além de ser uma necessidade da tecnologia, a segurança da informação também é tratada como uma necessidade do negócio, ou seja, informações e conhecimentos corporativos são os principais ativos de qualquer empresa e exigem ter sua confidencialidade, integridade e disponibilidade asseguradas.
A segurança da informação começa a partir da definição de uma política de segurança, onde é criado um conjunto de normas e diretrizes destinadas à proteção dos ativos da empresa de forma clara e aprovada pela alta direção e com as definições de responsabilidade pela gestão da área. Posteriormente comunica-se de forma oficial e funcional para todos os colaboradores, clientes e parceiros, com o intuito de demonstrar a devida cautela e o compromisso da empresa.
É possível tomar como base para a criação das políticas alguns modelos propostos por padrões de segurança, que disponibilizam conjuntos de melhores práticas e regulamentações do setor e remetem para os setores específicos alinhados ao contexto das empresas. É importante destacar que a política de segurança deve ser um documento dinâmico que se adeque às necessidades do negócio, permita ser revisada e alterada com frequência, e ser clara e divulgada aos responsáveis.
Para que a política de segurança cumpra o seu papel é preciso cobrar, fiscalizar e aplicar penalidades para aqueles que não a respeitarem na empresa. E portanto, tomando essas ações como base, os riscos serão minimizados e a empresa ficará menos exposta a consequências desconhecidas.